基于行为分析的代码注入攻击侦搜与取证研究
代码注入攻击(Code Injection Attack)是黑客在应用程序中注入要执行的代码段.此类攻击是利用目标程序因缺少对输入输出数据的验证,未对不信任的数据进行验证的攻击行为,也是攻击者用来导入程序代码到某特定的计算机程序以改变程序的执行进程或目的的一种专业的攻击方式.传统的防病毒软件是采取特征侦测的技术,面对新型、变体、多元且复杂的恶意软件威胁,因特征不易取得,使其早已遭受代码注入攻击而不自知,是现今互联网所面临的最大威胁之一.本研究以行为分析、循以代码注入攻击(Code Injection Attack)侦搜与取证TAARA(Trigger触发-Acquire搜集-Analysis分析-Report报告-Act行动)为方法论.首先,主动发现代码注入攻击所引发的信息安全事件,进行攻击事件的识别、搜集,并针对可疑来源及原因,识别信息及攻击来源等证物;其次,对攻击事件进行整理、鉴定、归类及分析,判断代码注入攻击事件的先后顺序,确认攻击事件所发的相关问题;根据分析结果,对被攻击的人、事、时、地、物等攻击指标、文件路径等提出报告;最后,在最短时间采取必要措施,进行相关措施的改善,避免攻击事件灾情扩大等一连串侦搜与取证处理流程,以为调查与取证人员提供实际执行时的指导方针并在发生信息安全事件时能紧急应变.
代码注入攻击 侦搜流程 取证流程 行为分析
张志汖
台湾警察专科学校 台北11696
国内会议
南昌
中文
6-12
2017-11-18(万方平台首次上网日期,不代表论文的发表时间)