多态shellcode检测方法研究

在以往的多态shellcode检测方法中，基于模拟的动态检测方法主要针对多态shellcode的解码器部分进行检测。尽管这样的检测方法可以在一定程度上检测出目标，但其性能和抗攻击性较差。为了进一步提高检测准确率并降低误报率，在已有的基于模拟的动态检测方法基础上进行了改进，引入了shellcode行为模式匹配机制，按照条件将多态shellcode解码后的行为与常见的攻击行为模式进行匹配，以判断并定位有效负载的位置。最后借助于Libemu系统对上述方法进行了实现和测试，从Metasploit和Nepenthes中提取shellcode样本，并使用编码器生成多态样本，从检测率和误报率两方面对方法进行了检验，实验证明了该方法有更高的有效性与稳定性。