作为网络中的核心基础设施之一,路由器的安全性逐渐成为网络安全的一个重要话题。Cisco公司一直以来都是相关网络设备的生产厂商和技术领导者,其设备的市场占有率具有很大优势,同样,其设备安全性也广受业界关注。路由器,特别是Cisco路由器通常部署在防火墙系统的各个部分,例如作为边界路由等,因此,它们自然成为攻击者的高价值目标。然而,当前针对Cisco路由器攻击的防护检测还比较匮乏,所以开展Cisco路由器安全研究工作是有重要意义的。本文针对Cisco路由器的一般性安全问题,研究了路由器攻击行为检测技术。在对路由器攻击分类描述后,重点分析了基于漏洞的攻击方式,使用模糊测试以及动静态分析调试等方法剖析路由器上堆栈溢出类型的漏洞机理。理清漏洞成因后,针对性地提出多种漏洞攻击行为检测方法,并且在一款路由器模拟软件的基础上,通过攻击实验对所提方法的有效性进行验证。本文的主要工作包括:1.研究了模糊测试方法对Cisco IOS的适用性,通过二进制补丁比对方法分析漏洞成因,深入剖析了漏洞利用方式。提出了一种基于内存模糊测试挖掘Cisco未公开命令的方法。介绍了内存模糊测试的原理知识,逆向分析了Cisco IOS中关于命令解析的一般流程,自动化地生成字符串测试用例并循环提交给命令解析接口,通过对返回结果的监控实现未公开命令的挖掘,为Cisco路由器指令操作行为是否具有潜在风险提供一种判断依据。2.提出了基于DEP防护思想的Cisco IOS漏洞攻击检测方法。Cisco早期的系列路由器没有DEP功能,通过对这些路由器的模拟并引入DEP,能够增加安全性。介绍了IOS系统中的堆栈结构,依据控制流完整性思想设计了针对IOS控制流劫持攻击的检测方法。3.设计了在IOS运行中同步记录函数执行过程的日志方案,用于攻击检测后的代码跟踪;提出一种流量缓存方案,用于恶意流量的回溯定位与提取,使之可与检测系统的数据重放接口交互来复现攻击场景。最后,基于虚拟化的Cisco IOS,整合各功能及接口,实现了Cisco路由器攻击行为检测原型系统。为保护运行IOS的模拟Cisco路由器提供了测试方法和具体示例,设计测试实验,搭建测试环境,利用关键函数hook攻击和漏洞攻击对系统有效性进行验证。实验测试结果表明,本文提出的方法对于Cisco路由器攻击行为检测防护的有效性。