آلية جديدة للكشف عن هجمات غير معروفة لينكس / دائرة الرقابة الداخلية
1 1 1 1 1 1 1 1 1 1 تصنيف 5.00 (الأصوات 2)

المقدمة

توليد الحمولات باستخدام MetaSploit و MSF Venom

MSF Venom هي أداة سطر الأوامر التي ستساعد فريق الاختبار على إنشاء حمولات مستقلة بذاتها للتنفيذ على الأجهزة والأنظمة الضعيفة للوصول إلى الأنظمة عن بعد. MSF Venom هو مجموعة من ترميز MSF Payload و MSF التي تدعم خيارات متنوعة في اختبار نقاط الضعف في النظام. تتضمن بعض هذه الخيارات التي توفرها MSF Venom استخدام الحمولة الصافية التي تصف كيفية استخدام الحمولات المخصصة للاختبارات ، وقائمة الخيارات القياسية للحمولات المختلفة ، وتحديد نوع الوحدة التي قد تتضمن الحمولات ، والمشفرات ، وتحديد حجم الطول على الحمولة ، والمخرجات. تنسيق ، قائمة التنسيقات المتاحة (Almgren ، 2000).

تتطلب MSF Venom أيضًا من مختبري الاختراق أن يحددوا نوع التشفير المستخدم ، بنية النظام ، المنصة حيث تعمل الحمولة ، الحد الأقصى لحجم الحمولة النافعة الناتجة ، الحد الأقصى لحجم الحمولة المشفرة ، قائمة الأحرف التي يجب تجنبها أثناء الاختبارات ، وعدد المرات لترميز الحمولة ، وتحديد ملف قابل للتنفيذ مخصص لاستخدامه كقالب والحفاظ على سلوك القالب وحقن الحمولة. وفيما يلي لقطة من خيارات MSF Venom المختلفة المتاحة لمرحلة اختبار الاختراق.

هذه هي اللغة المستخدمة لشرح برنامج metaspoilt. يمكن استخدام أي لغة هي اللغة الافتراضية.

الفرضية: كيف يمكن استخدام المفاهيم السلبية الإيجابية والخاطئة الزائفة لتحديد تحليل الحساسية في الأنظمة.

من المهم حماية وحماية النظام من أي تهديد قائم على الإنترنت عند تطوير وتشغيل أنظمة الكمبيوتر والتطبيقات. تحليل الحساسية هو دراسة معقدة لأوجه عدم اليقين في مخرجات نظام الكمبيوتر أو التطبيق. تحليل الحساسية ينطوي على اختبار افتراضات واختبارات مختلفة لتحديد مستوى عدم اليقين وتأثير متغير على إخراج النظام (Denning، 2012).

هذه الدراسة مهمة لتحديد متانة النظام عن طريق اختبار الشكوك ، وزيادة فهم التطبيق أو النظام لتحديد نقاط الضعف والقوة في النظام أو التطبيق. كما سيساعد تحليل الحساسية فريق تطوير النظام والتطبيقات على تحديد أوجه عدم التيقن ومواطن الضعف ، وبالتالي مساعدة فريق التطوير على الحد من أوجه عدم اليقين والأخطاء ونقاط الضعف هذه. كما أنه يساعد في تحديد أجزاء من نموذج المدخلات التي لا تؤثر على الإخراج ، وبالتالي يساعد في تبسيط نموذج النظام (Feng ، 2004).

وستساعد الدراسة أيضًا على تعزيز التواصل بين فريق التطوير وصناع القرار لتبادل الأفكار وتقديم توصيات لتحسين النظام قبل طرحه للجمهور. تحدد الدراسة أيضًا عوامل المدخلات والتأثيرات على مخرجات النظام لتحديد المقاييس المثلى والمعلمات الحساسة داخل النظام والتي يمكن أن تؤثر على النظام النهائي (Forrest، 2010).

الغرض من هذه الورقة البحثية هو اختبار نظام لأوجه عدم اليقين والأخطاء لتقليل نقاط الضعف التي قد تعرض النظام للاختراق من خلال التهديدات السيبرانية. وتشمل بعض الهجمات التي يتعين اختبارها هجمات غير معروفة ومعروفة. تهديدات وهجمات معروفة هي في الأساس الهجمات التي تم تحديدها بشكل جيد من قبل التوقيعات على محركات أقراص نظام مكافحة التسلل كشف التسلل والقوائم السوداء سمعة المجال. ومن ناحية أخرى ، فإن الهجمات غير المعروفة هي هجمات جديدة دون توقيع أي هجوم مسجل وبالتالي تشكل تهديدًا أكثر خطورة لأن طريقة عملها غير معروفة (Ghosh، 2007).

في ضوء ذلك ، ستدرس الورقة كيفية استخدام المفاهيم السلبية الإيجابية والخاطئة الزائفة لاختبار تحليل الحساسية. إن النتيجة الإيجابية الخاطئة التي تسمى أيضًا الإنذار الكاذب هي نتيجة اختبار تشير إلى أنه تم استيفاء شرط معين. هذا هو خطأ من النوع الأول الذي يتحقق من حالة واحدة على سبيل المثال وجود أخطاء التعليمات البرمجية في النظام مع نتائج صحيحة أو خاطئة. ومن ناحية أخرى ، فإن السلبيات الكاذبة هي اختبار يشير إلى أن النتائج في الحالة التي تم اختبارها قد فشلت ، إلا أن النتيجة الفعلية كانت ناجحة. هذا هو خطأ من النوع الثاني حيث يتم اختبار شرط واحد مع النتيجة إما إيجابية أو سلبية (Ilgun ، 2011).

أحد التطبيقات التي سيتم استخدامها في هذه الورقة هو تطبيق MSF Venom وأدوات Metasploit لإجراء اختبارات الاختراق على النظام أو التطبيق المستهدف. MSF Venom هي أداة سطر أوامر ستساعد مطوري النظام على إنشاء حمولات قائمة بذاتها على الأنظمة المعرضة للوصول إلى النظام عن بُعد. Metasploit من ناحية أخرى هي أداة اختبار تمكّن اختبار تغلغل التطبيقات من التحايل على حلول مكافحة الفيروسات التي تمكن فريق الاختبار من إنشاء حمولات ، واختبار تجزئة الشبكة وزيادة أداء وإنتاجية النظام من خلال الإبلاغ عن ميزات النظام وتمكين التحديثات التلقائية. سوف تبحث هذه الورقة في اختبارات الاختراق التي يتعين إجراؤها لاختبار نقاط الضعف في النظم ، وتحديد أنواع الأخطاء والهجمات والتوصية بطرق لتحسين إنتاجية النظام وتحسين الإنتاجية (Javitz، 2010).

هجمات معروفة وغير معروفة

تُعتبر الهجمات السيبرانية المعروفة هجمات ضارة على أنظمة الكمبيوتر والتطبيقات المعروفة بالفعل لمخترقي الاختراق والتي تم تحديد توقيعها بالفعل. تبدأ الهجمات المعروفة على أنها غير معروفة ولن تصبح معروفة إلا عندما يتم التعرف عليها على أنها ضارة من خلال معامل يدوي أو تلقائي في مختبرات البائع وتوقيع معين لها. تستخدم معظم حلول التحليل الديناميكي الحالية مقاييس متطورة لاكتشاف ما إذا كانت حمولة البيانات الناتجة خبيثة مع خوارزميات تنبؤية مطبقة لتوصيف نشاط الحمولة الصافية (Klein، 2005).

الهجوم المجهول هو مجرد هجوم جديد بدون توقيع. الفرق بين هجوم معروف وغير معروف هو اختلاف الوقت ، لأنه مع مرور الوقت يصبح معروف غير معروف. ببساطة سيتم التعرف على ملف المهاجمين من قبل محركات البحث على أنها خبيثة وبالتالي خلق الحاجة إلى تحديد حمولة غير معروفة لمحرك البحث. وهذا يشمل شراء محركات البحث المتاحة وتشغيل الملفات الضارة حتى يجد الهاكر وسيلة للتحايل على محركات البحث وجعل الملف الخبيث غير قابل للكشف (Ko، 2011).

إن تصميم الأنظمة الآمنة التي يمكن أن تصمد أمام الهجمات السيبرانية ليس فقط صعبًا بل شديد التعقيد. في الماضي ، كان المصممون يبنون أقفالًا قوية جدًا من خلال وضع آليات قوية للأمن حول أنظمتهم في الماضي ، تغير المصممون وهم الآن يبنون أنظمة لا تزال قيد التشغيل على الرغم من الهجمات المستمرة من خلال الاستفادة من التقنيات التي تعمل بشكل جيد وضعت من خلال التسامح مع الخطأ وكذلك الاعتماد عليها (Kruegel ، 2003).

التلوي sploit

عادة ما يتم تقسيم مفهوم استغلال إلى عدة عناصر. لأول مرة يحصل على اتصال الضعف. عند الاتصال ، يحصل الرمز الضعيف على بيانات الحمولة النافعة. ثم يتم استغلال الثغرة الأمنية بواسطة الحمولة ويتم إنشاء نوع من المكونات shell. بناءً على نوع الحمولة المنقولة ، يمكن إعادة توصيل مكون القشرة إلى المعالج الذي يتم إنشاؤه عادة قبل تسليم الحمولة النافعة. عند إنشاء الاتصال ، يمكن أن يستقبل shell أوامر لاستخراج المعلومات من الجهاز المستهدف. يمكن أيضًا أن تجعل امتدادًا لوظائفها من خلال تسليم الشفرة (Lane، 2010). عند تقديم مرونة تسليم أنواع مختلفة من حمولات shell ، تميل عناصر الاستغلال إلى استخدام الواجهة العامة التي يوفرها عنصر الحمولة النافعة. تقدم عمليات التنفيذ المختلفة لواجهة الحمولة النافعة حمولات اختيارية من المحتمل أن يتم توزيعها على الثغرة الأمنية. يمثل اكتشاف نقاط الضعف وتطوير عمليات الاستغلال مهمة صعبة تتطلب مختلف العقليات وكذلك الدافع. بقدر وجود أدوات التلويث في أطر عمل Metaspolit في اكتشاف نقاط الضعف ، هناك الكثير من الوقت الذي سيتم فيه استخدام Metaspolit في استغلال الثغرات الأمنية المعروفة وهي وظيفتها الأساسية (Lee، 2000).

ليس من الضروري وجود ثغرات أمنية في الشبكة وبالنظر إلى أن الشبكات أصبحت مسئوليًا آمنين جدًا ، وحتى المستخدمين غير المدربين هم عادة عنصر الضعف المستهدف. عند تحديد المستخدمين المستضعفين ، يمكن أن يتم تسليم عمليات الاستغلال من خلال هجمات التصيد الاحتيالي أو شخصيًا من خلال استخدام عامل داخلي مجند. جميع عناصر metamodel تعتبر واجهات. على سبيل المثال ، تحتوي عناصر الاتصال في Metasploit على إطار عمل عام على مكالمات واجهة برمجة التطبيقات التي يتم تقديمها لإجراء اتصالات مع جميع الخدمات الشهيرة تقريبًا على نظام التشغيل (Liberty، 2002).

توفر عناصر الحمولة النافعة إطار عمل الاستغلال مع رموز يمكن تنفيذها عند نجاح أي استغلال. ومع ذلك ، لا يعمل معالجات حمولات ، ولكن لأسباب التنفيذ هم جزء من التسلسل الهرمي للحمولة. لإيجاد تحكم تفصيلي واسع للشبكات المستهدفة ، هناك حاجة إلى استخدام الحمولات التي تكون قادرة على إنتاج عناصر من نوع الخادم على الأجهزة المستهدفة. بالإضافة إلى ذلك ، يجب أن تكون قدراتهم قابلة للتمديد كلما دعت الحاجة (Liljenstam، 2003).

للحصول على هذا النوع من الوظائف ، هناك حاجة لدمج البروتوكول وكذلك الأمر من جانب المهاجم بالإضافة إلى عناصر الإدارة. يمكن ملاحظة عدد من هذه العناصر في إطار Metasploit. توفر عناصر واجهة UI واجهات تتخلل المهاجم لإدارة كيف يمكن ربط عدد من الحمولات بالإضافة إلى المعالجات بعناصر الاستغلال قبل إطلاقها. تتضمن عناصر الواجهة هذه المديرين ووحدات التحكم والوكلاء وطرق العرض ومعالجات الأوامر والأوامر. تحتوي عناصر تخزين البيانات على واجهات تتخلل المهاجم لتخزين تفاصيل تكوينات الهجوم (Lindqvist ، 2001).

النوع الأول ، وخطأ النوع الثاني

ويشار أيضًا إلى خطأ النوع 1 على أنه خطأ موجب كاذب ، وذلك لأنه يميل إلى رفض الفرضية الصفرية حتى عندما يكون صحيحًا. إنه يقبل أساسا فرضية اختيارية عندما تخضع النتائج للصدفة. ويميل إلى الحدوث عند ملاحظة التباينات التي لا يوجد فيها شيء. يُشار أيضًا إلى خطأ النوع من النوع على أنه خطأ موجب. ويرجع ذلك إلى أنه يميل إلى رفض الفرضية الصفرية عندما تُعتبر الفرضية الاختيارية حالة طبيعية للطبيعة. إنه خطأ عندما يخفق المرء في قبول فرضية اختيارية بسبب عدم كفاءته في السلطة. يحدث ذلك عندما يفشل الأفراد في ملاحظة الفوارق على الرغم من إمكانية وجود واحد (Mahoney، 2002).

إن اختبار الفرضية هو عملية اختبار ما إذا كان يمكن تفسير التباينات في توزيعات أخذ العينات من خلال الصدفة العشوائية أم لا. إذا أمكن التوصل إلى استنتاجات مفادها أن هناك طريقة ذات مغزى تتباين بها توزيعتان ، فيجب أن يكون هناك احتياطات كافية لإدراك أن التباينات ليست مصادفة بشكل عشوائي. لا تسمح أخطاء النوع الأول بفرضيات غير مبررة ، وبالتالي يتخذ الأفراد احتياطاتهم في تقليل فرص حدوثها. يتم إجراء محاولات تقليدية لتعيين أخطاء النوع الأول على أنها 0.05 أو 0.01 حيث لا توجد سوى فرصة واحدة أو خمس من حدوث 100 لحدوث ظواهر فيما يتعلق بدرجة الأهمية. ومع ذلك ، فإنه ليس مضمونًا أن 0.05 أو 0.01 نادرة بشكل كاف ، وبالتالي هناك حاجة لاختيار مستويات كبيرة بحذر. يحدث الاختبار المتعدد وهو الزيادة المحتملة في أخطاء النوع الأول كلما كان هناك تكرار لاستخدام الأخطاء الإحصائية (Paxson، 2008).

آلية جديدة تكشف هجمات غير معروفة لجعلها معروفة

لا يمكن إنشاء نظام للتسامح مع التوغل يمكنه البقاء لفترة زمنية معقولة دون التعامل مع تحديات الهجمات غير المعروفة بالإضافة إلى تقييد موارد تجاوز الفشل. من الحكمة تشديد نظام المرء لتقدير عامل العمل للخصم. ومع ذلك ، يمكن أن يكون الوقت اللازم لتحديد نقاط الضعف الناشئة في أي نظام وكذلك تطوير استغلاله كبيرًا بطريقة ما (Almgren، 2000).

بالنسبة للمعارض الذي يتم تحديده ، قد يكون هذا هو الوقت والمال. عند تطوير الهجوم يتطلب وقتًا محدودًا ليتم تنفيذه. في معظم الحالات ، يكون هناك وقت محدود لإنشاء بدائل هجوم بسيطة. في حالة وجود بيئة تهديد لنظام متسامح مع اقتحام خصوم يتمتعون بموارد جيدة ، يجب أن يكون النظام قادرًا على التعامل مع الكثير من الهجمات غير المعروفة (Denning، 2012). خوادم لينكس

أصبح Linux خيارًا شائعًا لأنظمة التشغيل في بيئة الخادم. إن الدقة ، فضلاً عن ليونة الإعدادات والأمان والأداء العالي والموثوقية هي مزاياها مقارنةً بالأنظمة الأخرى. نظرًا للقيود على البنية التحتية ، يتم استضافة العديد من الخدمات على خادم واحد وبالتالي تحقيق التحدي المتمثل في كيفية حماية خادم Linux. لا يمكن أن تكون ممارسة حماية خادم لينكس تجربة محنة واحدة ، بل هي آلية دائمة تدوم طالما أن الخادم قيد الاستخدام. الهدف هو زيادة الأمان والكشف السريع عن التحديات (Feng، 2004).

عند تثبيت خادم Linux ، من المهم تعطيل الخدمات غير الضرورية. يجب أيضًا إزالة الحزم غير الضرورية. ينبع أكبر تهديد لحزم Linux من حزم البرامج غير الآمنة المستخدمة في تنفيذ عدد من الأوامر التي تأتي من المواقع البعيدة. وتشمل أوامر R مثل ؛ rsh و rexec و rlogin. تميل حزم البرامج هذه إلى إرسال الأوامر وأسماء المستخدمين وكلمات المرور من خلال الشبكات في غياب التسجيل السابق. عند اعتراض المرور ، يمكن للمهاجم رؤية المعلومات التي يمكن أن توقف تحدي أمان هام. وبالتالي ، يلزم حذف هذه الحزم من خادم Linux واستخدام بروتوكولات تستخدم الاتصالات المشفرة على سبيل المثال SSH.

يجب أن يتخذ مسؤول الخادم اعتبارات حذرة بشأن ما إذا كان من الأهمية بمكان بالنسبة لعدد من البروتوكولات على سبيل المثال بروتوكول نقل الملفات و Telnet لامتلاك العميل وكذلك دعم الخادم. من المهم أن يتم تنزيل الملفات من خوادم FTP المعزولة. يعد تشغيل خادم FTP الذي لا يتم استخدامه تهديدًا خطيرًا لخوادم Linux (Forrest، 2010).

يجب على مسؤول خوادم Linux إنشاء نظام تشغيل Linux والذي يوفر نقلًا آمنًا للملفات لتحسين تحديث الحزمة بالإضافة إلى تطبيق التصحيحات ذات الصلة. يجب تشفير جميع البيانات التي تمر عبر هذه الشبكات من قبل المسؤول حيثما كان ذلك ممكنًا. يستخدم مسؤولو الأنظمة SSH وكذلك بروتوكولات Telnet في الوصول عن بعد لخادم Linux.

ومع ذلك ، أصبح Telnet مطلقًا لأنه لا يقوم بتشفير البيانات التي يتبادلها مع الخوادم مطلقًا ، ويشمل ذلك بيانات اعتماد المستخدمين. أي شخص في هذه الشبكة بين مسؤول الكمبيوتر وخادم الاتصال قادر على اعتراض الحزم وامتلاك بيانات اعتماد المستخدم وبالتالي الحصول على السيطرة الكاملة على الخادم. وبالتالي يفضل بروتوكول SSH على بروتوكول Telnet لهذه الأسباب.

يوفر بروتوكول SSH حماية الاتصال في الخادم من خلال توفير التشفير الأساسي غير المتماثل. يميل الاتصال بين خوادم SSH والعملاء إلى أن يكون مشفراً وغير قابل للتفسير إلى أطراف ثالثة يمكن أن تعترض الحزم المتبادلة. يمكن تحقيق مصادقة خادم SSH من خلال النقل المشفر لبيانات اعتماد المستخدم. ويمكن أيضًا تجنب ذلك من خلال استخدام مفاتيح غير متماثلة تم إنشاؤها يدويًا ، حيث لا توجد ضرورة لاستخدام كلمات المرور (Ghosh و 2007).

في حالة إجراء المصادقة بواسطة مفاتيح يتم إنشاؤها يدويًا دون نقل كلمات المرور ، يجب أن يكون مفتاح المصادقة هو الجهاز الذي يمكنني الوصول إلى خادم Linux. يعد استخدام بيانات اعتماد المستخدم أمرًا ضروريًا للمسؤولين لتسجيل الدخول إلى الخادم حيث يتم استخدام أجهزة كمبيوتر مميزة لتسجيل الدخول المعزول إلى الخادم. بالنسبة للاتصال والمصادقة المنسقة بين خادمي Linux ، من الضروري استخدام مفاتيح غير متماثلة تم إنشاؤها يدويًا. هذا بسبب وجود أطراف دائمة في هذا الاتصال وبالتالي تجنب متطلبات كتابة كلمات المرور على الملفات.

تأمين قنوات الاتصال

إذا كانت هناك حاجة لنقل الملفات بين خوادم Linux والأجهزة البعيدة ، فيجب القيام بذلك عبر قنوات اتصال آمنة. بروتوكول FTP مشهور جدًا لعمليات نقل الملفات. ومع ذلك ، فإنه يواجه مخاطر أمنية مشابهة تمامًا كما يوصى باستخدام بروتوكول Telnet. خيارات آمنة مثل SCP أو FTPS أو SFTP. يميل بروتوكول نقل الملفات الآمنة (SFTP) إلى إنشاء اتصال آمن ومشفّر باستخدام أدوات التحكم عن بُعد لتعزيز الوصول إلى الملفات ونقلها وإدارتها. يستخدم هذا البروتوكول أيضًا نفق SSH في معالجة الملفات في الخوادم المعزولة (Ilgun ، 2011).

ينبع بروتوكول حماية نقل الملفات (FTPS) من بروتوكول FTP الذي تم إنشاؤه على أمان طبقة النقل (TLS) بالإضافة إلى طبقة المقابس الآمنة (SSL) التي تعزز النقل الآمن للبيانات. FTPS هو نفس بروتوكول بروتوكول نقل النص التشعبي (HTTPS) ويتطلب شهادة رقمية على الخوادم. وبالنظر إلى أن الأطراف الأخرى في الاتصال يجب أن تثق في الشهادة الرقمية للخادم المُثبت ، فإن ذلك يمكن أن يدرك التحديات في تنفيذ الحل بأكمله. إذا تم استخدام قدرة النقل لاحتياجات النظام وكذلك لأغراض إدارة الخادم ، فمن الضروري استخدام بروتوكول SFTP نظرًا لأنه يوفر الكثير من بدائل إدارة الملفات (Javitz و 2010).

في حالة إرسال الملفات من خادم Linux كخدمة للمستخدمين النهائيين ، يوصى باستخدام بروتوكول FTPS لأنه يعزز مصادقة الخادم باستخدام الشهادات الرقمية. يميل FTPS إلى استخدام منافذ UDP أو TCP 990 وكذلك منافذ 989 لتأسيس اتصالات ونقل الملفات. لذلك من المهم أن تظل هذه المنافذ مفتوحة على خوادم Linux. يضمن بروتوكول النسخ الآمن (SCP) الذي يستخدم بروتوكول SSH التشفير وكذلك مصادقة البيانات المشفرة. هذه العملية هي نفسها التي يستخدمها بروتوكول SFTP. ومع ذلك ، هذا واحد ينطوي على قدرات أكثر من مجرد نقل الملفات. يستخدم SCP المنفذ 22 TCP لضمان النقل الآمن للملفات.

يجب أن يكون لخادم Linux مساحة إضافية لتخزين البيانات التي تم جمعها أثناء العمليات. يميل المسؤولون إلى استخدام أنظمة معزولة من الملفات في توسيع قدرات الخادم الخاصة بهم. عادةً ما تكون خوادم Linux متصلة بالخوادم البعيدة لتخزين البيانات واستخدام جزء من نظام الملفات. يتم الوصول إلى أنظمة الملفات عن بعد عبر الشبكات ، كما أن مسؤولي النظام لديهم تجارب مماثلة كما لو كانت أنظمة الملفات عن بعد مشفرة في خادم Linux. يجب تأمين نقل البيانات بين الخوادم وأنظمة الملفات المعزولة بما فيه الكفاية حتى لا تتعارض مع البيانات المنقولة. يوصى بأن يستخدم مسؤولو النظام نظام الملفات الآمنة (SSHFS) الذي يعمل على تحسين استخدام الأنظمة المعزولة للملفات على خوادم Linux. يستخدم SSHFS رابط SSH لنقل البيانات بشكل آمن في الشبكات. يستخدم SSHFS في الأساس بروتوكول SFTP الذي يعزز إدارة الملفات والوصول الآمن وكذلك نقل البيانات على أنظمة الملفات المعزولة (كلاين ، 2005).

لا يمكن حماية أداة قطع Linux بشكل فعال إلا من خلال إعلام المسؤول بشكل جيد. يمكن القيام بذلك من خلال وجود تدفق ثابت للمعلومات الموثوقة حول اتجاهات الأمان التي تتعلق بتوزيع Linux ذي الصلة وكذلك حزم البرامج المثبتة. تم العثور على الكثير من نقاط الضعف مع مرور الوقت في حزم برامج Linux ويمكن استخدامها من قبل المهاجمين في اختراق الخوادم. بالنظر إلى القوائم البريدية التي تتصدى للتحديات الأمنية في مسؤولي توزيع Linux ، يمكنهم التصرف على الفور من خلال تحديث النظام في الوقت المناسب وكذلك إزالة الثغرات الأمنية. لذلك من المهم استخدام قوائم بريد آمنة في توزيعات Linux. تأسست على المعلومات التي تم جمعها يمكن لمسؤولي تحديد متى يمكن تحديث النظام وكذلك حزم البرامج التي يمكن استخدامها على الخوادم.

تمت التوصية بمدير حزمة Yum لتوزيع apt get أو Red Hat لأنه يضمن التثبيت الفعال بالإضافة إلى تحديث حزم البرامج والتبعيات ذات الصلة. كما أنه يعزز الحذف الفعال لحزم البرمجيات. يميل مديرو الحزم إلى التحقق بشكل متكرر من التوقيع الرقمي للحزمة وتجنب التثبيت إذا كانت هذه الحزم تحتوي على توقيعات غير صالحة. يجب أن يستخدم المسؤولون مستودعات البرامج القياسية التي اقترحها البائعون. يمكن أيضًا استرداد حزم البرامج من عدة مستودعات ولكن هذا يستدعي اتخاذ تدابير وقائية إضافية. من الحكمة بالنسبة للمسؤولين التحقق من الإصدارات الجديدة من الحزم قبل تحديثها لتقييم ثباتهم وأي تحديات أمنية محتملة. يجب أن تحدث عمليات التثبيت فقط للبرامج التي لا توجد في المستودعات الرسمية. يمكن أيضًا الحصول على هذه الحزم من رقم إذا كان المستودعات ولكن بعناية فائقة. يجب عدم تثبيت حزم البرامج غير الرسمية في واجهة الاختبار على خوادم Linux للإنتاج (Ko، 2011).

يُعتقد أن تسجيل قائمة الحزم التي تم تثبيتها بالإضافة إلى إصداراتها السابقة هو أفضل ممارسة. هذا لأن المسؤول سيكون قادراً على الوصول إلى أحدث الإصدارات الثابتة. إذا كانت الحزم الجديدة تشكل تهديدًا لاستقرار الخادم ، فيمكن للمسؤول الحصول على الإصدارات المثبتة مسبقًا وإعادة تثبيتها. يمكن للمسؤولين تعيين النظام لإجراء تحديث تلقائي لحزم البرامج على الرغم من أنه لا يوصى بذلك عادةً. أفضل الممارسات هي إجراء التحقق المتبادل من كل تحديث للطرود.

يمكن للمسؤول أيضًا تجميع مديري الحزم لإرسال إعلامات متقطعة لرسائل البريد الإلكتروني حيث يمكنه سرد جميع الحزم التي يمكن تحديث الخادم عليها. عند مراجعة هذه الحزم ، يتعين على المسؤول اتخاذ قرار بشأن التحديث المنفصل لكل حزمة. تميل عملية إرسال رسائل البريد الإلكتروني التي تمت مقاطعتها من خلال Yum package manager إلى تكوين ملف التكوين (Kruegel، 2003). من الضروري استئناف خدمة Yum المحدّثة عند إجراء تغييرات على الملف المكوّن. يتم الإشادة بالمسؤولين الذين يستخدمون توزيعات دبيان وكذلك في تثبيت حزمة البرامج apticron لضمان عمليات الفحص الروتينية في تحديث الحزم وكذلك إشعارات البريد الإلكتروني. في ملف التكوين لبرنامج حزمة apticron ، من الحكمة إدخال عنوان البريد الإلكتروني حيث سيتم إرسال الإشعار. في حالة وجود خبرة كافية لدى المسؤول في تحديد الحزم المطلوبة على الخوادم ، يُعتبر من الممارسات المكررة التوصل إلى مستودع محلي في مثل هذه الشبكة. يمكن إنشاء مستودع إصدارات الحزمة المعروفة والمستقرة في خادم Linux واحد حيث يمكن لخوادم الشبكة الأخرى استرداد الحزم. تتطلب هذه الحلول إجراء فحوصات تفصيلية لجميع الحزم قبل تخزينها في مستودع محلي.

تميل خوادم Linux إلى تعدد المهام من خلال تقديم العديد من الخدمات في حالة واحدة. وهذا يؤدي إلى استخدام الخادم اقتصاديًا بالإضافة إلى الكفاءة المثلى. ومع ذلك ، يجب على مسؤول النظام متابعة مراقبة القاعدة الذهبية للأمان. هذا يضمن أن النظام آمن مثل الخدمات الموقرة للغاية فيه. يتم الحصول على الحل الأمثل عندما يقدم كل خادم Linux خدمة واحدة فقط للمستخدمين النهائيين (لين ، 2010).

هناك عدد من الأدوات التي يمكن استخدامها لتعزيز الأمن. إنها تحد من الوصول غير المصرح به إلى المحاولات الضارة بالإضافة إلى الخدمات التي يمكنها التوفيق بين خادم Linux. يحتوي Linux على العديد من أدوات الأمان الكامنة على سبيل المثال SELinux و Netfilter. Netfilter هي دالة تقوم عادةً باعتراض وكذلك معالجة حزم الشبكات. يمكن العثور على هذا في جميع أنظمة Linux التي تحتوي على 2.4 والإصدارات الأقدم من kernel.

آلية جديدة للكشف عن هجمات غير معروفة لينكس / دائرة الرقابة الداخلية

توفر الثغرات التي تستند إلى الويب أجزاء كبيرة من عمليات التعرض لأمان شبكات الكمبيوتر. لضمان اكتشاف الهجمات المعروفة التي يتم العثور عليها على شبكة الويب ، تميل أنظمة الكشف عن إساءة الاستخدام إلى تزويدها بالكثير من التوقيعات. ومع ذلك ، ليس من السهل أن تكون مقدمًا من خلال الكشف اليومي عن نقاط الضعف المرتبطة بالويب. بصرف النظر عن تلك الثغرات التي يمكن تقديمها من خلال تثبيت التطبيقات المحددة على شبكة الإنترنت. هذا يعني أن أنظمة الكشف عن سوء الاستخدام يجب أن تكون مدعومة من قبل تطبيقات المباحث الشاذة (Lee، 2000).

تقترح هذه الورقة نظامًا للتحري عن التطفل يستخدم طريقة اكتشاف شاذة متميزة في الكشف عن هجمات غير معروفة في Linux / IOS. يميل هذا النظام إلى تقييم استعلامات العميل المختلفة التي لها مرجع لعدد من برامج الخادم ويقوم بإنشاء نماذج لمجموعة واسعة من الميزات المميزة لهذه الأسئلة. تتضمن بعض هذه الميزات برامج جانب العرض لتقييم الأنماط بالإضافة إلى قيم كل معلمة في طلبها. وبشكل خاص ، يتخلل استخدام سمات معينة للتطبيق للمعلمات المستدعاة النظام لإجراء تقييم مركّز وتوليد عدد أقل من الإيجابيات الخاطئة.

يميل هذا النظام إلى اشتقاق ملفات تعريف المعلمات المرتبطة بتطبيقات الويب تلقائيًا مثل طولها وكذلك هيكلها والربط بين الاستعلامات. هذا يعني أنه قادر على النشر في بيئات مختلفة قابلة للتطبيق دون الحاجة إلى توليف أو تهيئة مضيعة للوقت. يميل تطبيق الكشف عن الحالات الشاذة المقدم في هذه الورقة إلى استيعاب ملفات الويب لخوادم الويب المدخلة التي تتوافق مع تنسيق السجل العام (CLF) والتي تولد درجة غير طبيعية في كل طلب ويب (Liberty، 2002).

وبشكل أكثر إختصارًا ، تستفيد أساليب التقييم التي تستخدمها هذه الأداة في استعلامات بنية HTTP المحددة التي تحتوي على معلمات. تميل مثل هذه الاستعلامات أنماط الوصول وكذلك بارامتراتها إلى أن تقارن مع التشكيلات التي أنشئت خاصة بالبرنامج أو أي برنامج نشط في الطبيعة التي يمكن الرجوع إليها. تميل هذه الاستراتيجية إلى تعزيز تقييم عالي التركيز عندما يتعلق الأمر بطرق الكشف عن الشذوذات العامة التي لا تفسر برامج معينة يتم استدعاؤها.

يعتمد اكتشاف الحالات الشاذة على نماذج من السلوكيات المقصودة للمستخدمين وكذلك التطبيقات ويميل إلى تفسير الانحرافات عن السلوك العادي كدليل على الأنشطة الضارة. الافتراض هو أن أنماط الهجوم تميل إلى أن تختلف عن السلوك العادي. كشف الشذوذ يفترض أنه يمكن التعبير عن التباين من حيث الكم والنوع. تقوم استراتيجية الاكتشاف المقترحة بتقييم طلبات HTTP بالطريقة نفسها التي يتم بها تسجيل الدخول بواسطة معظم خوادم الويب العادية. يركز التقييم على الطلبات التي تستخدم المعلمات التي تنقل القيم إلى المستندات النشطة. أكثر من ذلك ، يتكون إدخال عملية الكشف من مجموعة من URIs التي يتم طلبها U = {u1 ، u2 ،. . . ، um} والمستخرجة من طلبات GET الفعالة ؛ تميل أكواد العودة الخاصة بها إلى 200 أو تساويها ولكن يجب أن تكون أقل من 300 (Liljenstam، 2003).

يتم التعبير عن URI ui i بخطوات من عناصر مسار الموارد المرغوب فيه ، وهو مكون بديل لمعلومات المسار (pinfoi) ، وكذلك سلسلة بديلة من الاستعلام (q). يتم استخدام سلسلة الاستعلام في تمرير المعلمات إلى الموارد المرجعية حيث تتم الإشارة إليها من خلال قيادة الأحرف ''؟ ''. تتكون سلسلة الاستعلام من قوائم مرتبة من أزواج n من السمات إلى جانب قيمها المشابهة. في هذه الحالة q = (a1، v1)، (a2، v2)،. (a ، vn) حيث ai 2 A ، عبارة عن مجموعة من السمات بينما vi عبارة عن سلسلة.

يركز إجراء التقييم على العلاقة بين القيم والبرامج والمعلمات. URIs التي تفتقر إلى سلاسل الاستعلام تعتبر غير ذات صلة ، وبالتالي يتم شطبها من U. وبصرف النظر عن URIs هناك قسم U إلى مجموعات فرعية Ur. وبالتالي ، يتم تعيين جميع البرامج المشار إليها r على الاستفسارات المقابلة Ur. توظف عملية الكشف عن الشذوذ عدة نماذج متميزة في مجموعة من النماذج المختلفة للإشارة إلى الإدخالات الشاذة. يمكن القول أن النموذج عبارة عن مجموعة من الآليات المستخدمة في تقييم ميزات استعلام محددة. يمكن ربط هذه الميزة بأحرف الاستعلام الفردية (Lindqvist ، 2001).

في ضوء توزيع ميزة الاستعلام التقريبي للطول مع معلمات l و r2 ، فإن الأمر متروك لمرحلة الكشف لتقييم شذوذ المعلمة الذي يبلغ طوله l. يتم ذلك من خلال حساب طول المسافة من u إلى متوسط ​​قيمة توزيع الطول. ويمكن التعبير عن ذلك باستخدام عدم المساواة في Chebyshev. فقط السلاسل التي يتجاوز طولها u تُعتبر ضارة. ينعكس هذا في حساب الاحتمال لأن سلاسل الحد الأعلى أطول مقارنة بالمتوسط ​​وبالتالي ذات صلة. يميل تصنيف استراتيجيات اكتشاف التسلل إلى سوء الاستخدام والشذوذ إلى أن يكون متعامدًا فيما يتعلق بالطريقة المحددة المستخدمة لنسب الهجمات الخبيثة أو العادية. في بعض الحالات ، يتم استخدام التواقيع في تحديد سلوك المستخدمين المتوقع (Mahoney ، 2002).

النتيجة

يجب التعامل مع هجمات Linux / IOS غير المعروفة باستخدام الأدوات والتقنيات التي تتألف من دقة التعرض المؤسس للتوقيع مع نظام كشف اختراق التسلل. اقترحت هذه الورقة استراتيجية جديدة لأداء الكشف الشاذ عن هجمات Linux / IOS غير المعروفة. يستخدم كإدخال HTTP الاستعلامات التي تتكون من المعلمات. إنه نظام شذوذ الكشف الرائد الذي تم تعديله لاكتشاف هجمات Linux / IOS غير المعروفة. إنه يستفيد من الارتباطات المحددة للتطبيق بين برامج خادم Linux والمعلمات المستخدمة في الاحتجاج. من الناحية المثالية ، لا يدعو هذا التطبيق إلى أي تكوينات خاصة بالتثبيت. كما أنه يتعلم سمات الاستعلام الخاصة به من تدريب البيانات. ومع ذلك ، يمكن تكوين درجة حساسيتها مع البيانات الشاذة من خلال عتبات يمكن أن تتناسب مع سياسات الموقع المختلفة.

المراجع

Almgren، MH Debar، M. Dacier، (2000)، أداة خفيفة الوزن للكشف عن هجمات خادم الويب ، في: وقائع ندوة ISOC حول الشبكة وأمن الأنظمة الموزعة ، سان دييجو ، كاليفورنيا.

Denning DE، (2012) ، نموذج كشف الاقتحام ، IEEE Transactions on Software Engineering 13 (2) 222 – 232.

Feng، HJ Giffin، Y. Huang، S. Jha، W. Lee، B. Miller، (2004). إضفاء الطابع الرسمي على الحساسية في التحليل الثابت لكشف التسلل ، في: وقائع ندوة IEEE بشأن الأمن والخصوصية، أوكلاند ، كاليفورنيا ،.

Forrest، S. (2010)، الشعور بالذات لعمليات UNIX ، في: وقائع ندوة IEEE بشأن الأمن والخصوصية ، أوكلاند ، CA، pp. 120 – 128.

Ghosh ، AKJ Wanken ، F. Charron ، (2007) ، اكتشاف التدخلات الشاذة وغير المعروفة ضد البرامج ، في: وقائع المؤتمر السنوي لأمن الكمبيوتر (ACSAC_98) ، سكوتسديل ، ، pp. 259 – 267.

Ilgun، RA Kemmerer، PA Porras، K. (2011) تحليل انتقال الدولة: نظام كشف التسلل القائم على القواعد ، IEEE Transactions on Software Engineering 21 (3) 181 – 199.

Javitz، A. Valdes HS، (2010)، الكشف عن الشذوذ الإحصائي الخاص بـ SRI IDES ، في: وقائع ندوة IEEE بشأن Securityand Privacy ، أوكلاند ، كاليفورنيا ،.

كلاين دي ، (2005) ، الدفاع ضد wilysurfer: الهجمات والدفاعات المستندة إلى الويب ، في: وقائع ورشة عمل USENIX بشأن كشف التسلل ومراقبة الشبكة ، سانتا كلارا ، كاليفورنيا.

Ko، CM Ruschitzka، K. Levitt، (2011)، تنفيذ مراقبة البرامج الأمنية الحساسة في النظم الموزعة: نهج قائم على المواصفات ، في: وقائع ندوة IEEE بشأن الأمن والخصوصية ، Oakland، CA، pp. 175 – 187.

Kruegel، CD Mutz، WK Robertson، F. Valeur، (2003)، تصنيف الأحداث بايزي لكشف التسلل ، في: وقائع المؤتمر السنوي لأمن الكمبيوتر (ACSAC 2003) ، لاس فيغاس ، نيفادا.

Lane، TCE Brodley، (2010)، التسلسل الزمني للتعلم والحد من البيانات من أجل anomalydetection ، في: وقائع مؤتمر ACM على أمن الحاسوب والاتصالات ، San Francisco، CA، ACM Press، New York، pp. 150 – 158.

لي ، WS Stolfo ، (2000) ، إطار عمل لبناء ميزات ونماذج لأنظمة كشف التسلل ، و ACM المعاملات على المعلومات وأمن النظام 3 (4) 227 – 261.

Liberty، DJ Hurwitz، (2002)، برمجة ASP.NET ، O_Reilly، سيباستوبول ، كاليفورنيا.

Liljenstam ، MD Nicol ، V. Berk ، R. Gray ، (2003) ، محاكاة واقعية لدودة شبكة المرور لتصميم واختبار نظام تحذير دودة ، في: وقائع ورشة عمل ACM على السريع Malcode، Washington، DC، pp. 24 – 33.

Lindqvist، M. Almgren، U. (2001)، جمع بيانات متكامل للتطبيقات من أجل مراقبة الأمن ، في: وقائع التطورات الحديثة في كشف التسلل (RAID)، Davis، CA، October 2001، LNCS، Springer،، pp. 22 – 36.

Mahoney، P. Chan، M. (2002)، تعلم نماذج غير ثابتة لحركة مرور الشبكة العادية للكشف عن هجمات جديدة ، في: وقائع مؤتمر 8th الدولي المعني باكتشاف استخراج المعرفة والبياناتEdmonton، Alberta، Canada، pp. 376 – 385.

Paxson، V. (2008)، Bro: نظام للكشف عن المتطفلين على الشبكة في الوقت الحقيقي ، في: وقائع الندوة الأمنية لـ USNIX 7th، سان أنطونيو ، تكساس.

المرفقات:
قم بتقديمالوصفحجم الملف
قم بتنزيل هذا الملف (a_new_mechanism_to_detect_unknown_linux_IOS_attacks.pdf)آلية جديدة للكشف عن هجمات غير معروفة لينكس / دائرة الرقابة الداخليةآلية جديدة للكشف عن هجمات غير معروفة لينكس / دائرة الرقابة الداخلية476 ك.

المزيد من كتابات العينة

عرض خاص!
استعمل القسيمة: UREKA15 للحصول على 15.0٪.

كل الطلبات الجديدة على:

الكتابة وإعادة الكتابة والتحرير

اطلب الآن