基于诱捕的软件异常检测综述

摘要：高级持续威胁（APT，advanced persistent threats）会使用漏洞实现攻击代码的自动加载和攻击行为的隐藏，并通过复用代码攻击绕过堆栈的不可执行限制，这是网络安全的重要威胁。传统的控制流完整性和地址随机化技术虽然有效抑制了APT的步伐，但软件的复杂性和攻击演化使软件仍存在被攻击的时间窗口。为此，以资源为诱饵的诱捕防御是确保网络安全的必要补充。诱捕机制包含诱饵设计和攻击检测两部分，通过感知与诱饵的交互行为，推断可能的未授权访问或者恶意攻击。针对文件、数据、代码3种诱饵类型，设计诱饵的自动构造方案并进行部署，从真实性、可检测性、诱惑性等方面对诱饵的有效程度进行度量。基于诱捕防御的勒索软件检测注重诱饵文件的部署位置，在漏洞检测领域，通过注入诱饵代码来检测代码复用攻击。介绍了在 APT 攻击各个阶段实施诱捕防御的相关研究工作，从诱饵类型、诱饵生成、诱饵部署、诱饵度量方面刻画了诱捕防御的机理；同时，剖析了诱捕防御在勒索软件检测、漏洞检测、Web安全方面的应用。针对现有的勒索软件检测研究在诱饵文件设计与部署方面的不足，提出了用于检测勒索软件的诱饵动态更新方法。讨论了诱捕防御面临的挑战，希望诱捕防御可以为发现未知攻击、溯源攻击意图提供理论和技术支持。

关键词:高级持续威胁 ; 代码复用攻击 ; 控制流完整性 ; 地址随机化 ; 诱捕防御

0 引言

互联网和物联网的发展，以及智能设备的广泛应用，提高了人们的生活质量和工作效率，使人类的工作和生活逐渐数字化、自动化和智能化。随着时间的推移，网络世界的信息资产和财富不断累积。这些资产和财富吸引了大量的攻击者或者攻击集团，网络安全事件不断涌现。高级持续威胁（APT，advanced persistent threa