随着信息技术的发展,网络空间已经成为与海陆空太空并列的第五大领域,在网络空间的对抗也愈演愈烈。在网络攻击行为中,利用漏洞进行攻击是最普遍的行为,这其中0Day漏洞作为未知漏洞更能有效地完成攻击行为,因此在高强度的网络对抗中,0Day漏洞作为一种高效的手段被广泛利用,对0Day漏洞检测的研究至关重要。本文对目前网络空间安全现状进行了研究、对传统漏洞检测技术与目前的0Day漏洞检测技术进行了分析与总结,发现目前的文档类型漏洞检测技术存在特征检测效果差、0Day漏洞检测效率低下、缺乏针对性等特点,同时利用格式化文档的0Day漏洞进行攻击是目前网络空间中最常见的攻击手段之一,因此本文将文档类型0Day漏洞检测研究作为主要研究方向,对漏洞检测技术中的shellcode检测技术、虚拟执行技术进行了重点研究。本文研究的文档类型文件包括PDF文档、Microsoft Office文档、RTF文档以及MIME类型文档四种类型。本文的研究工作可归纳为如下几点:1.分析对比了漏洞检测技术尤其是0Day漏洞检测技术,采用基于攻击负载检测的思想进行文档类型0Day漏洞检测研究,提出了一个以恶意文档检测为核心,漏洞特征判断为辅助的文档类型0Day漏洞检测模型。2.本文的检测模型利用格式化文档结构解析为基础,将不同结构的文档内容重新组织,同时利用shellcode在格式化文档中的利用的局限性与特点,以反汇编技术和虚拟执行技术为手段,实现恶意文档的检测,通过恶意文档的检测与漏洞特征的判断实现0Day漏洞的检测。3.在本文提出的文档类型0Day漏洞检测模型基础之上,本文设计了一个B/S架构的文档类型0Day漏洞检测系统,并详细说明了系统各模块的实现,重点描述了文档类型0Day漏洞检测模型中基于文档格式解析与shellcode检测的恶意文档检测模块的实现。4.本文利用三款杀毒软件引擎相结合,实现了一个集成杀毒软件的子系统,该系统作为本文提出的漏洞检测模型中漏洞特征判断的模块,同时可以独立运行,其独立运行的结果作为对本文实现的恶意文档检测模块的辅助验证数据。5.本文利用在实际网络中收集的文档样本以及作者精心构造的文档样本集,以本文设计的集成杀软系统作为辅助,对本文实现的恶意文档检测模型进行了验证,验证结果说明本文提出的模型在文档漏洞检测方面效果显著,并且具备文档类型ODay漏洞检测能力。
