enarzh-CNfrdeiwjanofaptruessv
Un nuevo mecanismo para detectar ataques desconocidos de Linux / IOS
1 1 1 1 1 1 1 1 1 1 Valoración de 5.00 (2 Votos)

Introducción

Generación de cargas útiles utilizando MetaSploit y MSF Venom

MSF Venom es una herramienta de línea de comandos que ayudará al equipo de pruebas a generar cargas útiles independientes para ejecutar en máquinas y sistemas vulnerables para acceder de forma remota a los sistemas. MSF Venom es una combinación de MSF Payload y MSF encode que admite varias opciones para probar las vulnerabilidades del sistema. Algunas de estas opciones disponibles en MSF Venom incluyen el uso de la carga útil que describe cómo usar las cargas útiles personalizadas para las pruebas, enumerar las diferentes opciones estándar de carga útil, describir el tipo de módulo que puede incluir las cargas útiles, los codificadores, determinar el tamaño de la longitud de la carga útil, la salida Formato, listar los formatos disponibles (Almgren, 2000).

MSF Venom también requiere que los probadores de penetración determinen el tipo de codificador a utilizar, la arquitectura del sistema, la plataforma donde operará la carga útil, el tamaño máximo de la carga útil resultante, el tamaño máximo de la carga útil codificada, la lista de caracteres que se deben evitar durante Las pruebas, el número de veces para codificar la carga útil, especifican un archivo ejecutable personalizado que se utilizará como plantilla y la preservación del comportamiento de la plantilla y la inyección de la carga útil. A continuación se muestra una instantánea de las diversas opciones disponibles de MSF Venom para la fase de prueba de penetración.

Este es un lenguaje usado para explicar el programa metaspoilt. Puede usar cualquier idioma que sea el idioma por defecto.

Hipótesis: cómo se pueden utilizar los conceptos de falso positivo y falso negativo para determinar el análisis de sensibilidad en los sistemas.

Es importante proteger y proteger el sistema de cualquier amenaza cibernética al desarrollar y ejecutar sistemas y aplicaciones informáticos. Un análisis de sensibilidad es un estudio complejo de incertidumbres en la salida de un sistema o aplicación de computadora. El análisis de sensibilidad implica probar varios supuestos y pruebas para determinar el nivel de incertidumbre y el impacto de una variable en la salida del sistema (Denning, 2012).

Este estudio es importante para determinar la robustez del sistema al probar las incertidumbres, aumentar la comprensión de la aplicación o sistema para identificar vulnerabilidades y fortalezas del sistema o aplicación. El análisis de sensibilidad también ayudará al equipo y al equipo de desarrollo de aplicaciones a identificar incertidumbres y vulnerabilidades, por lo que ayudará al equipo de desarrollo a reducir estas incertidumbres, errores y vulnerabilidades. También ayuda a identificar partes de la entrada del modelo que no afecta a la salida, por lo que ayuda a simplificar el modelo del sistema (Feng, 2004).

El estudio también ayudará a mejorar la comunicación entre el equipo de desarrollo y los tomadores de decisiones para intercambiar ideas y hacer recomendaciones para mejorar el sistema antes de que se publique al público. El estudio también identifica los factores de entrada y los impactos en la salida del sistema para determinar las mediciones óptimas y los parámetros sensibles dentro del sistema que pueden influir en el sistema final (Forrest, 2010).

El propósito de este trabajo de investigación es probar un sistema en busca de incertidumbres y errores para reducir las vulnerabilidades que pueden exponer al sistema a una violación a través de amenazas cibernéticas. Algunos de los ataques que se probarán incluyen ataques desconocidos y conocidos. Las amenazas y los ataques conocidos son, básicamente, ataques bien identificados por firmas en motores de sistemas de detección de intrusos y antivirus y listas negras de reputación de dominio. Por otro lado, los ataques desconocidos son nuevos sin firma de ataque registrada y, por lo tanto, representan una amenaza más grave ya que su modo de operación es desconocido (Ghosh, 2007).

A la luz de esto, el documento examinará cómo utilizar los conceptos de falso positivo y falso negativo para probar el análisis de sensibilidad. Un falso positivo también llamado falsa alarma es un resultado de prueba que indica que una condición dada se ha cumplido. Este es un error de tipo I que verifica una sola condición, por ejemplo, la presencia de errores de código en el sistema con resultados verdaderos o falsos. Por otro lado, el falso negativo es una prueba que indica que los resultados en la condición que se está probando fallaron, pero el resultado real es exitoso. Este es un error de tipo II en el que se prueba una única condición con un resultado positivo o negativo (Ilgun, 2011).

Una de las aplicaciones que se utilizará en este documento es la aplicación MSF Venom y las herramientas Metasploit para realizar pruebas de penetración en el sistema o aplicación de destino. MSF Venom es una herramienta de línea de comandos que ayudará a los desarrolladores de sistemas a generar cargas útiles independientes en sistemas vulnerables para acceder de forma remota al sistema. Metasploit, por otro lado, es una herramienta de prueba que permite a los probadores de penetración de aplicaciones eludir las soluciones antivirus que permiten al equipo de pruebas generar cargas útiles, probar la segmentación de la red y aumentar el rendimiento y la productividad del sistema informando sobre las características del sistema y permitiendo actualizaciones automáticas. Este documento examinará las pruebas de penetración que se realizarán para probar las vulnerabilidades en los sistemas, identificar los tipos de errores y ataques y recomendar formas de mejorar la productividad del sistema y optimizar la productividad (Javitz, 2010).

Ataques conocidos y desconocidos

Los ataques cibernéticos conocidos son ataques maliciosos en sistemas informáticos y aplicaciones que ya son conocidos por los evaluadores de penetración y cuya firma ya ha sido identificada. Los ataques conocidos comienzan como desconocidos y solo se conocen cuando se han identificado como maliciosos a través de laboratorios automáticos o manuales y una firma asignada a ellos. La mayoría de las soluciones de análisis dinámico actuales utilizan métricas sofisticadas para detectar si una carga útil generada es maliciosa con algoritmos predictivos aplicados para caracterizar la actividad de carga útil (Klein, 2005).

El ataque desconocido es solo un nuevo ataque sin firma. La diferencia entre un ataque conocido y desconocido es una diferencia de tiempo, ya que con el tiempo se conoce lo desconocido. Los buscadores simplemente reconocerán el archivo de los atacantes como malicioso, lo que creará la necesidad de identificar una carga útil desconocida para el motor de búsqueda. Esto implicará la compra de los motores de búsqueda disponibles y la ejecución de archivos maliciosos hasta que un pirata informático encuentre un medio para eludir los motores de búsqueda y hacer que el archivo malicioso sea indetectable (Ko, 2011).

El diseño de sistemas seguros que puedan soportar ataques cibernéticos no solo es difícil sino también muy complejo. En el pasado, los diseñadores solían construir bloqueos que son muy fuertes mediante la colocación de fuertes mecanismos de seguridad alrededor de sus sistemas. En el pasado reciente los diseñadores han cambiado y ahora están construyendo sistemas que todavía están en funcionamiento a pesar de los ataques continuos mediante el aprovechamiento de técnicas que están bien Desarrollado a través de la tolerancia a fallos y la fiabilidad (Kruegel, 2003).

Meta-sploit

El concepto de exploit generalmente se divide en varios elementos. Primero se conecta a la vulnerabilidad. Al conectarse, el código vulnerable obtiene los datos de carga útil. Luego, la carga útil explota la vulnerabilidad y se crea un tipo de componente de shell. Dependiendo del tipo de carga útil transportada, el componente de la cáscara podría reconectarse al manejador que generalmente se genera antes de entregar la carga útil. Al establecer la conexión, el shell puede recibir comandos para extraer información de la máquina de destino. También podría hacer una extensión de su funcionalidad a través de la entrega del código (Lane, 2010). Al ofrecer la flexibilidad de la entrega de varios tipos de cargas útiles de shell, los elementos de explotación tienden a emplear la interfaz genérica que ofrece el elemento de carga útil. Las diversas ejecuciones de la interfaz de carga útil ofrecen cargas de shell opcionales que probablemente se distribuirán a la vulnerabilidad. El descubrimiento de vulnerabilidades y el desarrollo de exploits es una tarea desafiante que requiere varias mentalidades y motivación. Tanto como las herramientas de fizzing están presentes en los marcos de Metaspolit en el descubrimiento de vulnerabilidades, hay mucho tiempo en el que se utilizará el Metaspolit para explotar las vulnerabilidades conocidas, que es su función principal (Lee, 2000).

No es una obligación que las vulnerabilidades estén presentes en la red y dado que las redes se han convertido en administradores muy seguros e incluso los usuarios que no están capacitados suelen ser el elemento vulnerable objetivo. Tras la identificación de los usuarios vulnerables, la entrega de ataques podría realizarse a través de ataques de phishing o en persona a través de un empleado interno reclutado. Todos los elementos del metamodelo son percibidos como fachadas. Por ejemplo, los elementos de conexión para Metasploit en un marco genérico tienen llamadas de API que se ofrecen para realizar conexiones con casi todos los servicios de renombre en el sistema operativo (Liberty, 2002).

Los elementos de carga útil ofrecen el marco de explotación con códigos que podrían implementarse en el éxito de una explotación. Sin embargo, los manejadores no funcionan como cargas útiles, pero, por razones de ejecución, forman parte de la jerarquía de carga útil de la clase. Para encontrar un control amplio y detallado de las redes dirigidas, es necesario emplear cargas útiles que puedan generar el tipo de elementos del servidor en las máquinas dirigidas. Además, su capacidad debe poder ampliarse siempre que sea necesario (Liljenstam, 2003).

Para obtener este tipo de funcionalidad, es necesario incorporar el Protocolo, así como el comando del lado del atacante, así como los elementos de administración. Varios de estos elementos se pueden observar en el marco Metasploit. Los elementos de fachada de la interfaz de usuario ofrecen interfaces que impregnan al atacante para gestionar la forma en que se pueden adjuntar una cantidad de cargas útiles y de controladores a los elementos de explotación antes de su lanzamiento. Estos elementos de fachada incluyen administradores, controladores, proxies, vistas, procesadores de comandos y comandos. Los elementos del almacén de datos tienen interfaces que impregnan al atacante para almacenar los detalles de las configuraciones de un ataque (Lindqvist, 2001).

Error tipo I y tipo II

El error Tipo 1 también se conoce como el falso positivo, esto es así porque tiende a rechazar la hipótesis nula incluso cuando es verdadera. Esencialmente acepta una hipótesis opcional cuando los resultados están sujetos al azar. Tiende a ocurrir cuando se observan disparidades donde no hay ninguna. El error de Tipo II también se conoce como falso positivo. Esto es así porque tiende a rechazar la hipótesis nula cuando la hipótesis opcional se considera como el estado verdadero de la naturaleza. Es un error cuando uno no puede aceptar una hipótesis opcional debido a que es inadecuado en el poder. Ocurre cuando los individuos no observan disparidades, aunque podría haber una (Mahoney, 2002).

La prueba de hipótesis es el proceso de probar si las disparidades en dos distribuciones muestreadas podrían explicarse por casualidad o no. Si se puede llegar a la conclusión de que existe una manera significativa en la que varían las dos distribuciones, debe existir la precaución adecuada para percibir que las disparidades no son por casualidad. Los errores de tipo I no permiten hipótesis injustificadas, por lo que los individuos toman precauciones para reducir las posibilidades de ocurrencia. Convencionalmente, se realizan intentos de establecer los errores de Tipo I como 0.05 o 0.01 donde solo hay una o cinco posibilidades de que 100 ocurra un fenómeno en lo que respecta al grado de importancia. Sin embargo, no se garantiza que 0.05 o 0.01 sean lo suficientemente raros, por lo que es necesario elegir cuidadosamente los niveles significativos. Las pruebas múltiples, que es el incremento probable en los errores de Tipo I, ocurren siempre que haya un uso repetido de errores estadísticos (Paxson, 2008).

Nuevo mecanismo que detecta ataques desconocidos para hacerlos conocidos

No es posible construir un sistema de tolerancia a la incursión que pueda sobrevivir una cantidad significativa de tiempo sin enfrentar desafíos de ataques desconocidos y recursos de conmutación por error restringidos. Es prudente endurecer el sistema para apreciar el factor de trabajo del adversario. Sin embargo, el tiempo necesario para la identificación de vulnerabilidades emergentes en cualquier sistema, así como el desarrollo de su exploit, podría ser algo grande (Almgren, 2000).

Para un oponente que está determinado, esto podría ser tanto tiempo como dinero. Sobre el desarrollo de un ataque requiere un tiempo limitado para ser ejecutado. En la mayoría de los casos, existe un tiempo limitado para la creación de variantes de ataque simples. En caso de que el entorno de amenaza de un sistema tolerante a la intrusión implique adversarios que cuenten con un buen recurso, el sistema debería poder enfrentar una gran cantidad de ataques desconocidos (Denning, 2012). Servidores linux

Linux se ha convertido en una opción popular para los sistemas operativos en el entorno del servidor. La granularidad, así como la flexibilidad de los ajustes, la seguridad, el alto rendimiento y la fiabilidad son sus ventajas en comparación con otros sistemas. Dadas las limitaciones infraestructurales, numerosos servicios están alojados en un servidor, por lo que se dan cuenta del desafío de cómo podría protegerse el servidor Linux. La práctica de protección del servidor de Linux no puede ser una prueba única, sino que es un mecanismo permanente que perdura siempre que se use el servidor. El objetivo es aumentar la seguridad y detectar rápidamente los desafíos (Feng, 2004).

Tras la instalación del servidor Linux, es fundamental que los servicios innecesarios estén deshabilitados. Los paquetes innecesarios también deben ser eliminados. La mayor amenaza para los paquetes de Linux proviene de los paquetes de software inseguros empleados en la ejecución de una serie de comandos que provienen de ubicaciones remotas. Incluyen los comandos R, tales como; rsh, rexec y rlogin. Estos paquetes de software tienden a transmitir comandos, nombres de usuario y contraseñas a través de redes en ausencia de grabaciones previas. Al interceptar el tráfico, el atacante puede ver la información que podría detener un desafío de seguridad crítico. Por lo tanto, se requiere que estos paquetes se eliminen del servidor de Linux y empleen protocolos que hacen uso de la comunicación encriptada, por ejemplo, el SSH.

El administrador del servidor debe considerar con cautela si es crítico que una serie de protocolos, por ejemplo, el Protocolo de transferencia de archivos y Telnet, posean al cliente y al servidor. Es importante que los archivos de servidores FTP aislados se descarguen. La ejecución de un servidor FTP que no se está utilizando es una amenaza crítica para los servidores Linux (Forrest, 2010).

El administrador de los servidores Linux debe establecer un sistema operativo Linux que ofrezca la transferencia segura de archivos para mejorar la actualización del paquete, así como la aplicación de los parches pertinentes. Todos los datos que pasan por estas redes deben ser cifrados por el administrador cuando sea posible. Los administradores de sistemas han estado utilizando el SSH y los protocolos Telnet en su acceso remoto al servidor Linux.

Sin embargo, Telnet ahora es absoluto porque nunca cifra los datos que intercambia con los servidores y esto incluye las credenciales de los usuarios. Cualquier persona en esta red entre el administrador de la computadora y el servidor de comunicación es capaz de interceptar paquetes y poseer credenciales de usuario, obteniendo así un control completo del servidor. El protocolo SSH es, por lo tanto, preferido sobre el protocolo Telnet por estas razones.

El protocolo SSH proporciona protección de comunicación en el servidor a través de la provisión de criptografía fundamental asimétrica. La comunicación entre los servidores SSH y los clientes tiende a ser encriptada e inexplicable a terceros que podrían interceptar paquetes intercambiados. La autenticación del servidor SSH se podría lograr a través de la transmisión cifrada de las credenciales del usuario. Esto también podría evitarse mediante el uso de claves asimétricas creadas manualmente donde no es necesario emplear contraseñas (Ghosh, 2007).

En caso de que la autenticación se realice mediante claves que se generan manualmente sin la transferencia de contraseñas, la clave de autenticación debe ser el dispositivo que puede acceder al servidor Linux. El empleo de credenciales de usuario es fundamental para que los administradores inicien sesión en el servidor donde se emplean equipos distintos para iniciar sesión de forma aislada en el servidor. Para la comunicación y la autenticación coordinada entre dos servidores Linux es fundamental que se empleen claves asimétricas creadas manualmente. Esto es así porque hay partes permanentes en esta comunicación, lo que evita el requisito de escribir contraseñas en los archivos.

Canales de comunicación seguros.

Si existe la necesidad de transferir archivos entre servidores Linux y máquinas remotas, debe hacerse a través de canales seguros de comunicación. El protocolo FTP es muy popular para las transferencias de archivos. Sin embargo, enfrenta riesgos de seguridad similares al igual que el protocolo Telnet. Por lo tanto, se recomiendan opciones seguras como SCP, FTPS o SFTP. El Protocolo seguro de transferencia de archivos (SFTP) tiende a establecer una comunicación segura y cifrada utilizando dispositivos remotos para mejorar el acceso, la transferencia y la gestión de archivos. Este protocolo también emplea un túnel SSH en la manipulación de archivos en servidores aislados (Ilgun, 2011).

El Protocolo de transferencia de archivos seguro (FTPS) se deriva del FTP basado en la Seguridad de la capa de transporte (TLS), así como de la Capa de sockets seguros (SSL) que mejoran el transporte seguro de datos. FTPS es muy similar al protocolo de Protocolo de Transferencia de Hipertexto (HTTPS) y exige un certificado digital en los servidores. Dado que otras partes de la comunicación deben confiar en el certificado digital del servidor montado, esto podría enfrentar desafíos en la ejecución de toda la solución. Si la capacidad de la transferencia se emplea para las necesidades del sistema y para los fines de la administración del servidor, se requiere que se emplee el protocolo SFTP, ya que proporciona muchas alternativas de administración de archivos (Javitz, 2010).

En caso de que los archivos se transmitan desde el servidor Linux como un servicio para sus usuarios finales, se recomienda emplear el protocolo FTPS, ya que mejora la autenticación del servidor mediante el uso de certificados digitales. FTPS tiende a emplear el UDP o TCP 990, así como los puertos 989 para establecer conexiones y transferir archivos. Por lo tanto, es crítico que estos puertos permanezcan abiertos en los servidores Linux. El protocolo de copia segura (SCP) que emplea el protocolo SSH garantiza el cifrado y la autenticación de los datos cifrados. Este proceso es el mismo que el utilizado por el protocolo SFTP. Sin embargo, esta implica más capacidades que solo transferir archivos. SCP emplea el puerto 22 TCP para garantizar la transferencia segura de archivos.

El servidor Linux debe tener espacio adicional para almacenar los datos recopilados durante las operaciones. Los administradores tienden a emplear sistemas aislados de archivos en la expansión de las capacidades de sus servidores. Los servidores Linux generalmente están conectados a servidores remotos para almacenar datos y utilizar una parte del sistema de archivos. Se accede a los sistemas de archivos remotos a través de redes y los administradores de sistemas tienen experiencias similares, como si los sistemas de archivos remotos estuvieran cifrados en el servidor Linux. La transferencia de datos entre servidores y sistemas de archivos aislados debe ser lo suficientemente segura para no comprometer los datos transferidos. Se recomienda que los administradores del sistema empleen el Sistema de archivos Secure Shell (SSHFS) que mejora el empleo de sistemas aislados de archivos en servidores Linux. SSHFS emplea el enlace SSH para transferir datos de forma segura en redes. Fundamentalmente, SSHFS emplea el protocolo SFTP que mejora la administración de archivos, el acceso seguro y la transferencia de datos en sistemas de archivos aislados (Klein, 2005).

El servidor Linux solo puede protegerse de manera efectiva si el administrador está bien informado. Esto se puede hacer si tiene un flujo constante de información confiable sobre las tendencias de seguridad relacionadas con la distribución de Linux pertinente, así como con paquetes de software instalados. Se han encontrado muchas vulnerabilidades a lo largo del tiempo en paquetes de software de Linux y podrían ser empleados por atacantes en servidores comprometidos. Dadas las listas de correo que abordan los desafíos de seguridad en los administradores de distribución de Linux, pueden actuar con prontitud mediante la actualización oportuna del sistema y la eliminación de vulnerabilidades. Por lo tanto, es crítico emplear listas de correo seguras en las distribuciones de Linux. Fundados en la información recopilada, los administradores podrían decidir cuándo se puede actualizar el sistema y los paquetes de software que podrían emplearse en los servidores.

El administrador de paquetes de Yum ha sido recomendado para las distribuciones apt get o Red Hat, ya que garantiza la instalación eficiente, así como la actualización de los paquetes de software y las dependencias pertinentes. También mejora la eliminación efectiva de paquetes de software. Los administradores de paquetes tienden a revisar repetidamente la firma digital de un paquete y evitar la instalación si dichos paquetes tienen firmas inválidas. Los administradores deben emplear los repositorios de software estándar que han sido sugeridos por los proveedores. Los paquetes de software también se pueden recuperar de varios repositorios, pero esto requiere medidas de precaución adicionales. Es prudente que los administradores verifiquen las nuevas versiones de los paquetes antes de actualizarlos para evaluar su estabilidad, así como cualquier posible problema de seguridad. Las instalaciones solo deben pasar al software que está ausente en los repositorios oficiales. Estos paquetes también se pueden obtener a partir de un número de repositorios, pero con mucho cuidado. Los paquetes de software no oficiales en una versión de prueba no deben instalarse en servidores Linux de producción (Ko, 2011).

Se considera que la mejor práctica es registrar una lista de los paquetes que están instalados, así como sus versiones anteriores. Esto es así porque el administrador podría acceder a las últimas versiones estables. Si los paquetes nuevos son una amenaza para la estabilidad del servidor, el administrador podría obtener las versiones instaladas anteriormente y reinstalarlas. Los administradores pueden configurar el sistema para que realice una actualización automática de los paquetes de software, aunque esto generalmente no se recomienda. La mejor práctica es hacer una verificación mutua de cada actualización de paquetes.

El administrador también podría reunir a los administradores de paquetes para enviar notificaciones intermitentes de correos electrónicos donde pueda enumerar todos los paquetes que podrían actualizarse en el servidor. Tras una revisión de estos paquetes, el administrador debe tomar una decisión sobre la actualización por separado de cada paquete. El envío interrumpido de correos electrónicos a través del administrador de paquetes de Yum puede tender a configurarse en el archivo de configuración (Kruegel, 2003). Es fundamental reanudar el servicio actualizado de Yum al realizar cambios en el archivo configurado. Los administradores que emplean las distribuciones de Debian son encomiados en la instalación, así como en el uso del paquete de software apticron para garantizar las verificaciones de rutina en la actualización de paquetes, así como las notificaciones por correo electrónico. En el archivo de configuración para el paquete de software apticron, es prudente ingresar la dirección de correo electrónico a la que se enviará la notificación. En caso de que el administrador tenga la experiencia adecuada en la definición de los paquetes requeridos en los servidores, se considera una práctica refinada crear un repositorio local en dicha red. El repositorio de versiones de paquetes conocidas y estables podría generarse en un servidor Linux donde otros servidores de red podrían recuperar los paquetes. Estas soluciones exigen comprobaciones detalladas de todos los paquetes antes de su almacenamiento en un repositorio local.

Los servidores Linux tienden a realizar múltiples tareas al ofrecer varios servicios en una instancia. Esto hace que el servidor se utilice económicamente, así como una eficiencia óptima. Sin embargo, el administrador del sistema debe continuar observando la regla de oro de la seguridad. Esto garantiza que el sistema sea tan seguro como los servicios altamente venerables en él. La solución perfecta se obtiene cuando cada servidor Linux ofrece solo un servicio a los usuarios finales (Lane, 2010).

Hay una serie de herramientas que podrían emplearse para mejorar la seguridad. Limitan el acceso no autorizado a intentos maliciosos, así como a servicios que podrían conciliar al servidor Linux. Linux tiene varias herramientas de seguridad inherentes, por ejemplo, SELinux y Netfilter. Netfilter es una función que generalmente intercepta y procesa paquetes de redes. Esto se puede encontrar en casi todos los sistemas Linux que tienen 2.4 y versiones superiores de kernel.

Un nuevo mecanismo para detectar ataques desconocidos de Linux / IOS

Las vulnerabilidades basadas en la Web proporcionan porciones considerables de las exposiciones de seguridad de las redes de computadoras. Para garantizar la detección de ataques conocidos que se encuentran en la web, los sistemas de detección mal utilizados suelen estar equipados con muchas firmas. Sin embargo, no es fácil ser directo con la divulgación diaria de las vulnerabilidades relacionadas con la web. Aparte de eso, las vulnerabilidades podrían introducirse a través de la instalación de aplicaciones basadas en web específicas. Esto significa que los sistemas de detección de mal uso deben ser asistidos por aplicaciones de detección de anomalías (Lee, 2000).

Este artículo propone un sistema de detección de intrusiones que emplea un método de detección de anomalías distinto en la detección de ataques Linux / IOS desconocidos. Este sistema tiende a evaluar varias consultas de clientes que tienen una referencia para varios programas de servidor y genera modelos para una amplia gama de características distintas para estas preguntas. Algunas de estas características incluyen los programas del lado del servicio que evalúan los patrones, así como los valores para cada parámetro en su invocación. En particular, el uso de atributos particulares de aplicación de los parámetros invocados impregna el sistema para llevar a cabo una evaluación concentrada y generar un número minimizado de falsos positivos.

Este sistema tiende a derivar automáticamente los perfiles de parámetros que están vinculados a las aplicaciones web, por ejemplo, su longitud, su estructura y la asociación entre consultas. Esto significa que es capaz de implementarse en varios entornos aplicables sin la necesidad de ajuste o configuración consumidos en el tiempo. La aplicación de detección de anomalías presentada en este documento tiende a adaptarse en forma de archivos web de servidores de entrada que cumplen con el formato de registro común (CLF), que genera una puntuación que es de naturaleza anómala para cada solicitud web (Liberty, 2002).

Más concisamente, los métodos de evaluación empleados por esta herramienta aprovechan las consultas de estructura HTTP específicas que tienen parámetros. Tales patrones de acceso de consultas, así como sus parámetros, tienden a compararse con los perfiles instituidos que son específicos del programa o de cualquier programa activo en la naturaleza a los que se pueda hacer referencia. Esta estrategia tiende a mejorar una evaluación altamente concentrada cuando se trata de los métodos de detección de anomalías genéricas que no tienen en cuenta los programas particulares que se invocan.

La detección de anomalías depende de los modelos de comportamiento deseados de los usuarios, así como de las aplicaciones, y tiende a interpretar las desviaciones del comportamiento ordinario como evidencia de actividades maliciosas. El supuesto es que los patrones de ataque tienden a diferir del comportamiento ordinario. La detección de anomalías supone que la disparidad podría expresarse cuantitativa y cualitativamente. La estrategia de detección propuesta evalúa las solicitudes HTTP de la misma manera en que son registradas por la mayoría de los servidores web comunes. La evaluación se concentra en solicitudes que emplean parámetros que pasan valores a documentos activos. Más aún, la entrada del proceso de detección está formada por un conjunto de URI que se ordenan U = {u1, u2,. . . , um} y extraído de solicitudes GET efectivas; sus códigos de retorno tienden a ser más o iguales a 200, pero deberían ser menores que 300 (Liljenstam, 2003).

El URI UI se expresa en términos de elementos de la ruta de recursos deseada, un componente alternativo de la información de ruta (pinfoi), así como una cadena alternativa de consulta (q). La cadena de consulta se emplea para pasar parámetros a los recursos de referencia, donde se indica mediante caracteres de ''? ''. Una cadena de consulta está formada por listas ordenadas de n pares de atributos junto con sus valores análogos. En este caso q = (a1, v1), (a2, v2),. (an, vn) donde ai 2 A, es un conjunto de atributos, mientras que vi es una cadena.

El procedimiento de evaluación se centra en la relación entre valores, programas y parámetros. Los URI que carecen de cadenas de consulta se consideran irrelevantes y, por lo tanto, se eliminan de U. Aparte de los URI, existe la partición de U en subconjuntos Ur. En consecuencia, todos los programas referenciados r se asignan a las consultas correspondientes Ur. El proceso de detección de anomalías emplea varios modelos distintos en un conjunto de varios modelos para señalar entradas anómalas. Se puede decir que un modelo es un conjunto de mecanismos empleados para evaluar características de consulta específicas. Esta característica podría asociarse con caracteres de consulta única (Lindqvist, 2001).

A la luz de la distribución aproximada de la característica de consulta de la longitud con los parámetros l y r2, depende de la fase de detección evaluar una anomalía de parámetro cuya longitud es l. Esto se hace calculando la longitud l distancia desde u el valor medio de la distribución de longitud. Esto se puede expresar utilizando la desigualdad de Chebyshev. Sólo las cadenas cuya longitud supera u se perciben como maliciosas. Esto se refleja en el cálculo de probabilidad, ya que el límite superior de las cadenas es más largo en comparación con la media y, por lo tanto, es relevante. La categorización de las estrategias de detección de intrusos en mal uso y basado en anomalías tiende a ser ortogonal en relación con el método específico empleado para atribuir ataques maliciosos u ordinarios. En algunos casos, las firmas se emplean en la especificación del comportamiento proyectado de los usuarios (Mahoney, 2002).

Conclusión

Los ataques de Linux / IOS desconocidos deben tratarse mediante el uso de herramientas y técnicas que forman parte de la precisión de la exposición basada en la firma con un sistema de detección de flexibilidad de intrusión basado en anomalías. Este documento ha propuesto una estrategia novedosa para realizar la detección de anomalías de ataques Linux / IOS desconocidos. Se emplea como consultas HTTP de entrada que se componen de parámetros. Es el sistema pionero de detección de anomalías modificado para detectar ataques de Linux / IOS desconocidos. Aprovecha las correlaciones especificadas de la aplicación entre los programas del servidor Linux y los parámetros que se emplean en su invocación. Idealmente, esta aplicación no requiere ninguna configuración particular de instalación. También aprende sus atributos de consulta de la formación de datos. Sin embargo, el grado de su sensibilidad con datos anómalos se podría configurar a través de umbrales que pueden adaptarse a diversas políticas del sitio.

Referencias

Almgren, MH Debar, M. Dacier, (2000), Una herramienta liviana para detectar ataques de servidores web, en: Actas del Simposio ISOC sobre Seguridad de Redes y Sistemas Distribuidos, San Diego, CA ,.

Denning DE, (2012), un modelo de detección de intrusiones, IEEE Transactions on Software Engineering 13 (2) 222 – 232.

Feng, HJ Giffin, Y. Huang, S. Jha, W. Lee, B. Miller, (2004). Formalización de la sensibilidad en el análisis estático para la detección de intrusos, en: Actas del Simposio IEEE sobre Seguridad y Privacidad, Oakland, CA ,.

Forrest, S. (2010), Un sentido de sí mismo para los procesos UNIX, en: Actas del Simposio IEEE sobre Seguridad y Privacidad, Oakland, CA, pp. 120 – 128.

Ghosh, AKJ Wanken, F. Charron, (2007), Detectando intrusiones anómalas y desconocidas en los programas, en: Actas de la Conferencia Anual de Aplicación de Seguridad Informática (ACSAC_98), Scottsdale, , pp. 259 – 267.

Ilgun, RA Kemmerer, PA Porras, K. (2011) Análisis de transición de estado: un sistema de detección de intrusiones basado en reglas, Transacciones IEEE en Ingeniería de Software 21 (3) 181 – 199.

Javitz, A. Valdés HS, (2010), El detector de anomalías estadísticas SRI IDES, en: Actas del Simposio IEEE sobre Seguridad y Privacidad, Oakland, CA ,.

Klein D., (2005), Defensa contra el wilysurfer: ataques y defensas basados ​​en la web, en: Actas del Taller de USENIX sobre Detección de intrusos y Monitoreo de redes, Santa Clara, CA ,.

Ko, CM Ruschitzka, K. Levitt, (2011), Supervisión de la ejecución de programas críticos para la seguridad en sistemas distribuidos: un enfoque basado en especificaciones, en: Actas del Simposio IEEE sobre Seguridad y Privacidad, Oakland, CA, pp. 175 – 187.

Kruegel, CD Mutz, WK Robertson, F. Valeur, (2003), Clasificación de eventos bayesianos para la detección de intrusiones, en: Actas de la Conferencia Anual de Aplicación de Seguridad Informática (ACSAC 2003), Las Vegas, NV ,.

Carril, TCE Brodley, (2010), Aprendizaje de secuencia temporal y reducción de datos para detección de anomalías, en: Actas de la Conferencia ACM sobre Seguridad de Computadoras y Comunicaciones, San Francisco, CA, ACM Press, Nueva York, pp. 150 – 158.

Lee, WS Stolfo, (2000), Un marco para construir características y modelos para sistemas de detección de intrusos, transacciones ACM sobre información y seguridad del sistema 3 (4) 227-261.

Liberty, DJ Hurwitz, (2002), Programación ASP.NET, O_ReillySebastopol, CA.

Liljenstam, MD Nicol, V. Berk, R. Gray, (2003), Simulación del tráfico de gusanos de red realista para el diseño y las pruebas del sistema de advertencia de gusanos, en: Actas del Taller de ACM sobre Rapid Malcode, Washington, DC, pp. 24 – 33.

Lindqvist, M. Almgren, U. (2001), Recopilación de datos integrada por aplicación para monitoreo de seguridad, en: Procedimientos de avances recientes en detección de intrusos (RAID), Davis, CA, octubre 2001, LNCS, Springer, pp. 22 – 36.

Mahoney, P. Chan, M. (2002), Aprendizaje de modelos no estacionarios de tráfico de red normal para detectar nuevos ataques, en: Actas de la 8th Conferencia Internacional sobre Descubrimiento del Conocimiento y Minería de Datos., Edmonton, Alberta, Canadá, pp. 376 – 385.

Paxson, V. (2008), Bro: un sistema para detectar intrusos de red en tiempo real, en: Actas del 7th USENIX Security SymposiumSan Antonio, TX.

pin It
Archivos adjuntos:
Envíe elDescripciónTamaño del archivo
Descargue este archivo (a_new_mechanism_to_detect_unknown_linux_IOS_attacks.pdf)Un nuevo mecanismo para detectar ataques desconocidos de Linux / IOSUn nuevo mecanismo para detectar ataques desconocidos de Linux / IOS476 kB

Más escritos de muestra

Oferta Especial!
Utilizar Cupón: UREKA15 Para obtener 15.0% de descuento.

Todos los nuevos pedidos en:

Escribir, reescribir y editar

Ordena Ahora