在过去的10年里，缓冲区溢出攻击是最为常见的一种攻击形式。入侵者可以通过溢出攻击轻易地获得一个远程主机的部分或全部控制权。溢出攻击通过向进程的缓冲区中写入超出其缓冲区长度的内容，从而破坏进程的堆栈或其他数据区，使进程转而执行其他指令以达到攻击者的目的。也就是说溢出攻击主要达到以下两个目标：1．把攻击码注入到进程中；2．修改函数返回地址RET等使进程跳转到攻击码shellcode所在的地址执行；另外，对所获得的只有普通用户权限的shell进行权限提升攻击，以获得一个具有root权限的shell。由于现在的溢出攻击利用了ELF动态链接过程，巧妙的构造和伪装shellcode，以绕过防火墙、IDS，论文在分析ELF动态链接过程、shellcode的构造和特点、缓冲区溢出技术的基础上提出了基于非正常二进制码的shellcode检测方法及分析公式，并在对系统调用的检测过程中综合使用参数、环境变量的检测及跟踪进程执行过程中用户权限的方法，最后通过修改Linux内核，以系统调用execve()为原型实现了检测。另外，还提出一个通过检测ebp来防止伪造栈桢的思路。