enarZH-CNfrdeiwjanofaptruessv
یک مکانیسم جدید برای شناسایی ناشناخته ها لینوکس / IOS حمله
1 1 1 1 1 1 1 1 1 1 امتیاز 5.00 (رای 2)

معرفی

تولید بارهای با استفاده از MetaSploit و MSF Venom

MSF Venom یک ابزار خط فرمان است که به تیم آزمایشی برای تولید بارهای مستقل برای اجرا بر روی ماشین ها و سیستم های آسیب پذیر برای دسترسی به سیستم از راه دور کمک خواهد کرد. MSF Venom ترکیبی از MSF Payload و رمزگذاری MSF است که از گزینه های مختلف در آسیب پذیری های سیستم پشتیبانی می کند. بعضی از این گزینه ها توسط MSF Venom شامل استفاده از بار استفاده شده است که نحوه استفاده از بارهای سفارشی برای آزمایشات را شرح می دهد، گزینه های استاندارد مختلف loadload را لیست می کند، نوع مدول را مشخص می کند که ممکن است شامل loadloads، encoders، اندازه طول در loadload، خروجی فرمت، لیست فرمت های موجود (Almgren، 2000).

MSF Venom همچنین نیاز به آزمایشکنندگان نفوذ برای تعیین نوع کددور برای استفاده، معماری سیستم، پلت فرم که در آن loadload کار خواهد کرد، حداکثر اندازه حاصل از بارگیری نتیجه، حداکثر اندازه بارگیری کد شده، لیست کاراکتر برای جلوگیری در طول آزمایش ها، تعداد دفعات برای رمزگذاری بار، مشخص کردن یک فایل اجرایی سفارشی برای قالب بندی و حفظ رفتار قالب و تزریق بارگیری. در زیر تصویری از گزینه های مختلف MSF Venom موجود برای مرحله تست نفوذ است.

این یک زبان است که برای توضیح برنامه metaspoilt استفاده می شود. این می تواند هر زبان زبان پیش فرض باشد.

فرضیه: مفاهیم مثبت و منفی نادرست منفی را می توان برای تعیین حساسیت در سیستم ها استفاده کرد.

هنگام تهیه و اجرای سیستم های کامپیوتری و برنامه های کاربردی، مهم است که سیستم را از تهدیدهای مبتنی بر سایبر محافظت و محافظت نماییم. تجزیه و تحلیل حساسیت یک مطالعه پیچیده از عدم قطعیت در خروجی یک سیستم کامپیوتری و یا نرم افزار است. تجزیه و تحلیل حساسیت شامل آزمون فرضیه ها و تست های مختلف برای تعیین سطح عدم قطعیت و تاثیر یک متغیر در خروجی سیستم است (Denning، 2012).

این مطالعه برای تعیین استحکام سیستم از طریق تست عدم اطمینان، افزایش درک برنامه یا سیستم برای شناسایی آسیب پذیری ها و نقاط قوت سیستم و یا کاربرد مهم است. تجزیه و تحلیل حساسیت همچنین به تیم توسعه سیستم و برنامه کمک می کند تا عدم قطعیت و آسیب پذیری را شناسایی کند و به تیم توسعه کمک می کند تا این عدم اطمینان، خطاها و آسیب پذیری ها را کاهش دهد. همچنین در شناسایی قسمت هایی از ورودی مدل که خروجی را تحت تأثیر قرار نمی دهد، به این ترتیب در ساده سازی مدل سیستم (Feng، 2004) کمک می کند.

این مطالعه همچنین به منظور ارتقاء ارتباط بین تیم توسعه و تصمیم گیرندگان برای تبادل ایده ها و ارائه توصیه هایی برای بهبود سیستم قبل از انتشار آن به مردم کمک می کند. این مطالعه همچنین عوامل ورودی و تاثیرات بر خروجی سیستم را برای تعیین اندازه گیری بهینه و پارامترهای حساس درون سیستم که می تواند بر سیستم نهایی (Forrest، 2010) تأثیر بگذارد، شناسایی می کند.

هدف از این مقاله پژوهشی، آزمایش یک سیستم برای عدم قطعیت و خطا برای کاهش آسیب پذیری هایی است که می تواند سیستم را از طریق تهدیدات اینترنتی تخریب کند. برخی از حملات مورد آزمایش شامل حملات شناخته شده و شناخته شده می باشد. تهدیدات و حملات شناخته شده اساسا حملات به خوبی شناسایی شده توسط امضا در موتورهای ضد ویروس و سیستم تشخیص نفوذ و لیست سیاه لیست دلخواه. از سوی دیگر، حملات ناشناخته جدید با هیچ امضایی ثبت شده ثبت نشده است و از این رو خطرناک تر از آن است که حالت عملیات آنها ناشناخته است (Ghosh، 2007).

در این راستا، مقاله به بررسی چگونگی استفاده از مفاهیم منفی کاذب مثبت و نادرست برای آزمون حساسیت تحلیل خواهد پرداخت. یک مثبت کاذب همچنین یک زنگ دروغ نامیده می شود که یک نتیجه آزمون است که نشان می دهد که یک شرایط داده شده انجام شده است. این یک نوع I خطا است که یک شرط را بررسی می کند به عنوان مثال وجود خطاهای کد در سیستم با نتایج درست یا غلط. منفی کاذب از سوی دیگر آزمون است که نشان می دهد که نتایج در شرایط آزمایش شده شکست خورده است، اما نتیجه واقعی موفق است. این یک نوع II خطا است که در آن یک شرط تنها با نتیجه مثبت یا منفی آزمایش می شود (Ilgun، 2011).

یکی از برنامه های کاربردی که در این مقاله مورد استفاده قرار می گیرد، ابزار MSF Venom و Metasploit برای انجام آزمایش های نفوذ در سیستم هدف یا برنامه است. MSF Venom یک ابزار خط فرمان است که به توسعه دهندگان سیستم کمک می کند تا بارهای مستقل را در سیستم های آسیب پذیر ایجاد کنند تا از راه دور به سیستم دسترسی پیدا کنند. از سوی دیگر، Metasploit یک ابزار آزمایشی است که تستکنندگان نفوذ نرم افزار را قادر به دور زدن راه حل های ضد ویروس می کند که تیم تست را قادر می سازد تا بارهای بارگیری را تولید کنند، تقسیم شبکه را آزمایش کنند و عملکرد و بهره وری سیستم را با گزارش دادن ویژگی های سیستم و به روز رسانی خودکار انجام دهند. در این مقاله، آزمونهای نفوذی که برای تست آسیب پذیری در سیستم انجام می شود، شناسایی نوع خطاها و حملات و روش هایی برای بهبود بهره وری سیستم و بهینه سازی بهره وری (Javitz، 2010) مورد بررسی قرار می گیرد.

حمله های شناخته شده و ناشناخته

حملات شناخته شده سایبری حملات مخرب به سیستم های کامپیوتری و برنامه های کاربردی است که قبلا برای آزمایشکنندگان نفوذ شناخته شده است و امضای آنها قبلا شناسایی شده است. حملات شناخته شده به عنوان ناشناخته آغاز می شود و تنها زمانی قابل شناسایی است که از طریق آزمایشگاه های فروشندگان و یا امضا به آنها به صورت خودکار یا دستی شناسایی می شود. اکثر راه حلهای تحلیل دینامیک کنونی از معیارهای پیشرفته برای تشخیص اینکه آیا یک مزیت تولید شده بدور از طریق الگوریتم های پیش بینی شده برای مشخص کردن فعالیت بارگیری (Klein، 2005) استفاده می شود، استفاده می شود.

حمله ناشناخته فقط یک حمله جدید بدون امضای است. تفاوت بین یک حمله شناخته شده و ناشناخته، تفاوت زمان است، زیرا با گذشت زمان ناشناخته شناخته می شود. فایل های مهاجم به سادگی توسط موتورهای جستجو به عنوان مخرب شناسایی می شوند و در نتیجه نیاز به شناسایی یک loadload را که موتور جستجو ناشناخته است شناسایی می کند. این شامل خرید موتورهای جستجو در دسترس و اجرای فایل های مخرب می شود تا هکر یک ابزار را برای دور زدن موتورهای جستجو پیدا کند و فایل های مخرب غیر قابل کشف (Ko، 2011).

طراحی سیستم های ایمن که می تواند حملات سایبری را تحمل کند، نه تنها سخت و پیچیده است. طراحان گذشته برای ساخت قفل هایی که از طریق مکانیسم های قوی امنیتی در اطراف سیستم هایشان بسیار قوی هستند، استفاده می شوند. طراحان اخیر اخیر تغییر کرده و در حال حاضر سیستم هایی را طراحی می کنند که با وجود حملات مداوم، با استفاده از تکنیک های خوب توسعه یافته توسط تحمل گسل و همچنین قابلیت اطمینان (Kruegel، 2003).

متال اسپلویت

مفهوم استثمار معمولا به چند عنصر تقسیم می شود. ابتدا به آسیب پذیری متصل می شود. پس از اتصال متصل، کد آسیب پذیر داده ها را بارگیری می کند. سپس آسیب پذیری توسط بار بارگیری مورد سوء استفاده قرار می گیرد و یک نوع پوسته ایجاد می شود. بسته به نوع حمل بار حمل و نقل، جزء پوسته می تواند به handler متصل شود، که معمولا قبل از تحویل بار کالا تولید می شود. پس از ایجاد اتصال، پوسته می تواند دستورات دریافت اطلاعات از دستگاه هدف را دریافت کند. همچنین می تواند از طریق تحویل کد (Lane، 2010) از قابلیت های آن گسترش یابد. در ارائه انعطاف پذیری تحویل انواع مختلف بارهای پوسته، عناصر بهره برداری معمولا به استفاده از رابط عمومی که توسط عنصر loadload ارائه می شود. اعدام های مختلفی از رابط کاربری payload ارائه می دهد بارهای پوسته اختیاری است که احتمالا به آسیب پذیری توزیع می شود. کشف آسیب پذیری ها و توسعه سوء استفاده ها یک کار چالش برانگیز است که نیاز به ذهنیت گوناگون و همچنین انگیزه دارد. همانطور که ابزار fizzing در چارچوب Metaspolit در کشف آسیب پذیری ها وجود دارد، زمان زیادی برای استفاده از Metaspolit در بهره برداری از آسیب پذیری های شناخته شده است که عملکرد اولیه آن (Lee، 2000) است.

لازم نیست آسیب پذیری ها در شبکه حضور داشته باشند و با توجه به این که شبکه ها به مدیران بسیار امن تبدیل شده اند و حتی کاربران که آموزش دیده اند معمولا عنصر آسیب پذیر هدفمند هستند. پس از شناسایی کاربران آسیب پذیر، تحویل سوء استفاده را می توان از طریق حملات فیشینگ و یا به صورت شخصی از طریق استفاده از یک شخص ثالث استخدام کرد. همه عناصر متامودل به عنوان نمادهای درک شده اند. به عنوان مثال عناصر ارتباطی برای Metasploit یک چارچوب عمومی دارای تماس API است که برای برقراری ارتباط با تقریبا تمام خدمات مشهور در OS (Liberty، 2002) ارائه می شود.

عناصر بارگیری کالا، چارچوب کارآیی را با کد هایی که می توانند بر اساس موفقیت یک بهره برداری اجرا شوند، ارائه می دهند. با این حال، دستگیره ها به عنوان loadload ها عمل نمی کنند اما به دلایل اجرای آنها بخشی از سلسله مراتب باربری کلاس هستند. برای پیدا کردن یک کنترل دقیق دقیق از شبکه های هدفمند نیاز به استفاده از بارهای قابل حمل است که قادر به ایجاد نوع عناصر سرور در ماشین های هدف است. علاوه بر این، قابلیت آنها باید هر زمان که لازم باشد، بتواند گسترش یابد (Liljenstam، 2003).

برای به دست آوردن این نوع از قابلیت ها نیاز به ترکیب پروتکل و همچنین فرماندهی طرف حمله کننده و همچنین عناصر مدیریت وجود دارد. تعدادی از این عناصر را می توان در چارچوب Metasploit مشاهده کرد. عناصر نمایشی UI ارائه دهنده ی رابطهایی هستند که نفوذگر را کنترل می کنند تا بتوانند تعدادی از بارها و همچنین دستگیره ها را قبل از راه اندازی به اجزای بهره برداری متصل کنند. این عناصر نماینده شامل مدیران، کنترل کننده ها، پروکسی ها، نمایش ها، پردازنده های فرمان و دستورات می باشد. عناصر فروشگاه داده دارای اینترفیس هستند که مهاجم را برای ذخیره جزئیات پیکربندی حمله (Lindqvist، 2001) قرار می دهد.

نوع I، و نوع II خطا

خطای نوع 1 نیز به عنوان مثبت کاذب به آن اشاره شده است زیرا این موضوع تمایل دارد فرضیه صفر را رد کند حتی اگر درست باشد. اساسا، فرضیه اختیاری را در زمانی که نتایج به شانس منتهی می شود، پذیرفت. این امر زمانی اتفاق می افتد که رعایت نابرابری ها در آنجا وجود داشته باشد. خطا Type ll نیز به عنوان مثبت کاذب نامیده می شود. این به این دلیل است که گمان می رود فرضیه صفر را رد کند، زمانی که فرضیه اختیاری به عنوان حالت واقعی طبیعت در نظر گرفته می شود. این یک خطا است که در آن یک فرضیه اختیاری به دلیل عدم اقتدار در قدرت پذیرفتنی نیست. این اتفاق می افتد زمانی که افراد نتوانند تفاوت ها را مشاهده کنند حتی اگر وجود داشته باشد (Mahoney، 2002).

تست فرضیه فرآیند تست است اگر اختلافات در دو توزیع نمونه را می توان با احتمال تصادفی توضیح داد یا نه. اگر می توان نتیجه گرفت که شیوه ای معنی دار است که در آن دو توزیع متفاوت هستند، لازم است احتیاط لازم برای درک این نابرابری ها با احتمال تصادفی صورت نگیرد. در عوض، خطاهای نوع I اجازه نمی دهند که فرضیه های نامناسب را در نظر بگیرند و افراد در کاهش احتمال وقوع احتیاط کنند. به طور معمول تلاش می شود خطاهای Type I را به عنوان 0.05 یا 0.01 تعیین کرد که در آن تنها یک یا پنج شانس از 100 از وقوع یک پدیده در مورد درجه اهمیت وجود دارد. با این حال، تضمین شده است که 0.05 یا 0.01 به اندازه کافی نادر است و بنابراین لازم است با احتیاط سطح قابل توجهی را انتخاب کنید. تست چندگانه ای که احتمال اشتباه در خطاهای نوع I رخ می دهد هر بار که یک بار استفاده از اشتباهات آماری وجود دارد (Paxson، 2008).

مکانیسم جدید که حمله های ناشناخته را شناسایی می کند

این امکان وجود ندارد که یک سیستم تحمل تحرک ایجاد کند که بتواند برای مقدار معنی داری از زمان بدون برخورد با چالش های حمل ناشناخته و همچنین محدودیت های خرابکارانه محدود شود. محتاطانه است که سیستم خود را سخت کند تا عامل کار دشمن را درک کند. با این حال، زمان لازم برای شناسایی آسیب پذیری های در حال ظهور در هر سیستم و همچنین توسعه بهره برداری آن می تواند تا حدود زیادی (Almgren، 2000) باشد.

برای حریف تعیین می شود که این می تواند در مورد زمان و همچنین پول باشد. پس از توسعه یک حمله، زمان محدودی برای اجرای آن نیاز به زمان دارد. در اغلب موارد، زمان برای ایجاد انواع مختلف حمله وجود دارد. در صورتی که محیط تهدید یک سیستم تحمل نفوذ مستلزم دشمنانی است که به خوبی منابع مالی دارند، سیستم باید قادر به مقابله با بسیاری از حملات ناشناخته باشد (Denning، 2012). سرورهای لینوکس

لینوکس تبدیل به یک انتخاب محبوب برای سیستم عامل در محیط سرور است. جزئیات دانه و همچنین انعطاف پذیری تنظیمات، امنیت، عملکرد بالا و همچنین قابلیت اطمینان در مقایسه با سیستم های دیگر، شایستگی آن است. با توجه به محدودیت های زیربنایی، سرویس های متعدد بر روی یک سرور میزبانی می شوند و در نتیجه چالش هایی را که سرور لینوکس می تواند محافظت شود را درک کند. عملیات حفاظت از سرور لینوکس نمیتواند یک آزمایش بلافاصله باشد، بلکه مکانیسم دائمی است که تا زمانی که سرور در حال استفاده است، باقی میماند. هدف این است که امنیت را افزایش دهیم و به سرعت تشخیص چالش ها (Feng، 2004).

پس از نصب سرور لینوکس، خدمات غیر ضروری غیرفعال است. بسته های غیر ضروری نیز باید حذف شوند. بزرگترین تهدید برای بسته های لینوکس، ناشی از بسته های نرم افزاری ناامن است که در اجرای تعدادی از دستورات که از مکان های دور هستند، اجرا می شود. آنها شامل دستورات R مانند؛ rsh، rexec و rlogin. این بسته های نرم افزاری به دلیل عدم ضبط قبلی تمایل به انتقال دستورات، نام کاربری و رمز عبور را از طریق شبکه ها دارند. پس از در اختیار گرفتن ترافیک، مهاجم می تواند اطلاعاتی را مشاهده کند که می تواند یک چالش امنیتی مهم را متوقف کند. بنابراین لازم است که این بسته ها از سرور لینوکس حذف شوند و از پروتکل هایی استفاده کنند که از طریق ارتباط رمزگذاری شده به عنوان مثال SSH استفاده می شود.

سرپرست سرور باید ملاحظات محتاطانه را بر این داشته باشد که آیا برای چندین پروتکل مهم است، مثلا پروتکل انتقال پرونده و Telnet به مشتری و همچنین پشتیبانی سرور. مهم است که فایل ها از سرورهای جدا شده FTP دانلود شوند. اجرای یک سرور FTP که مورد استفاده قرار نمی گیرد تهدیدی جدی برای سرورهای لینوکس است (Forrest، 2010).

مدیر سرور لینوکس باید سیستم عامل لینوکس را نصب کند که انتقال امن فایل ها را برای ارتقاء به روز رسانی بسته و نیز استفاده از تکه های مربوطه ارائه می دهد. تمام داده هایی که از طریق این شبکه ها می آید باید توسط سرپرست که در آن امکان پذیر است، رمزگذاری شود. مدیران سیستم از SSH و همچنین پروتکل های Telnet در دسترسی از راه دور سرور لینوکس استفاده می کنند.

با این حال، Telnet در حال حاضر مطلق است زیرا هرگز اطلاعاتی را که با سرورها مبادله می کند رمزگذاری می کند و این شامل اعتبار کاربران می شود. هر فردی در این شبکه بین مدیر کامپیوتر و همچنین سرور ارتباط برقرار می کند تا بتواند بسته ها را مستقیما در اختیار بگیرد و دارای اعتبار کاربری باشد تا کنترل کامل سرور را داشته باشد. بنابراین پروتکل SSH به این دلایل بر پروتکل Telnet ترجیح داده می شود.

پروتکل SSH محافظت از ارتباطات در سرور را از طریق ارائه رمزنگاری اساسی نامتقارن فراهم می کند. ارتباط بین سرورها و مشتریان سرور SSH تمایل به رمزگذاری و غیر قابل توضیح برای اشخاص ثالث است که می توانند بسته های مبادله ای را بگیرند. احراز هویت سرور SSH می تواند از طریق انتقال رمز شده از اعتبار کاربری دست یابد. همچنین می توانید از طریق استفاده از کلید های نامتقارن ساخته شده دستی ایجاد کنید که در آن نیازی به استفاده از کلمه عبور وجود ندارد (Ghosh، 2007).

در صورتی که احراز هویت توسط کلیدهای تولید شده به صورت دستی بدون انتقال کلمات عبور انجام می شود، کلید تأیید هویت باید دستگاهی باشد که بتواند به سرور لینوکس دسترسی پیدا کند. استخدام مجوزهای کاربر برای مدیران برای ورود به سرور که در آن کامپیوترهای متمایز برای ورود جداگانه به سرور استفاده میشوند بسیار مهم است. برای برقراری ارتباط و احراز هویت هماهنگ بین دو سرور لینوکس، این مهم است که کلید های نامتقارن به صورت دستی استفاده شوند. این به این دلیل است که احزاب دائمی برای این ارتباط وجود دارند، بنابراین اجتناب از نیاز به نوشتن کلمه عبور در فایل ها.

کانال های امن ارتباطی

اگر نیاز به انتقال فایل ها بین سرورهای لینوکس و ماشین های راه دور وجود داشته باشد، باید از طریق کانال های امن ارتباط برقرار شود. پروتکل FTP برای انتقال فایل بسیار محبوب است. با این حال، با خطرات امنیتی مشابه همانند پروتکل Telnet روبرو می شوید. بنابراین گزینه های امن مانند SCP، FTPS یا SFTP توصیه می شود. پروتکل انتقال فایل امن (SFTP) تمایل دارد ارتباطات امن و رمزگذاری شده را با استفاده از ابزارهای راه دور ایجاد کند تا دسترسی، انتقال و همچنین مدیریت فایل ها را افزایش دهد. این پروتکل همچنین از یک تونل SSH در دستکاری فایلها در سرورهای جدا شده استفاده میکند (Ilgun، 2011).

پروتکل پروتکل انتقال امن (FTPS) از FTP بر پایه لایه امنیتی حمل و نقل (TLS) و همچنین لایه Secure Sockets Layer (SSL) است که حمل و نقل امن داده را افزایش می دهد. FTPS بسیار شبیه پروتکل Hypertext Transfer Protégé Secure (HTTPS) است و درخواست گواهی دیجیتال را در سرورها می دهد. با توجه به این که احزاب دیگر ارتباط باید به گواهی دیجیتال نصب شده سرور اعتماد کنند این می تواند چالش هایی را در اجرای کل راه حل به دست آورد. اگر قابلیت انتقال برای نیازهای سیستم و همچنین به منظور مدیریت سرور مورد استفاده قرار گیرد، لازم است که پروتکل SFTP با توجه به این که بسیاری از گزینه های مدیریت فایل (Javitz، 2010) فراهم می شود.

در صورتی که پرونده ها از سرور لینوکس به عنوان یک سرویس برای کاربران نهایی آن ارسال می شود، توصیه می شود از پروتکل FTPS استفاده کنید زیرا از طریق گواهی های دیجیتال، احراز هویت سرور را تقویت می کند. FTPS تمایل دارد UDP یا TCP 990 و همچنین پورت های 989 را برای اتصال و انتقال فایل ها استفاده کند. بنابراین برای پورت های موجود در سرورهای لینوکس بسیار مهم است. پروتکل کپی امن (SCP) که از پروتکل SSH استفاده می کند، رمزگذاری و همچنین احراز هویت داده های رمزگذاری شده را تضمین می کند. این فرایند همان است که توسط پروتکل SFTP استفاده می شود. با این حال، این یکی شامل قابلیت های بیشتر نسبت به انتقال فایل ها است. SCP از port 22 TCP برای تضمین انتقال امن فایل ها استفاده می کند.

سرور لینوکس باید فضای بیشتری برای ذخیره داده های جمع آوری شده در طول عملیات داشته باشد. مدیران تمایل به استفاده از سیستم های جدا شده از فایل ها در گسترش ظرفیت سرور خود. سرورهای لینوکس معمولا به سرورهای راه دور برای ذخیره داده ها و استفاده از یک بخشی از سیستم فایل متصل می شوند. سیستم های فایل از راه دور از طریق شبکه ها دسترسی پیدا می کنند و مدیران سیستم تجربه های مشابهی دارند به شرط اینکه سیستم های فایل راه دور در سرور لینوکس رمزگذاری شوند. انتقال داده ها بین سرورها و سیستم های فایل جدا شده باید به اندازه کافی امن باشد تا اطلاعات منتقل شده را تحت تاثیر قرار ندهد. توصیه می شود که مدیران سیستم بایستی از پرونده سیستم امنیتی امن (SSHFS) استفاده کنند که باعث افزایش کارایی سیستم های جدا شده فایل ها در سرورهای لینوکس می شود. SSHFS پیوند SSH را برای انتقال ایمن داده ها در شبکه ها به کار می گیرد. اساسا SSHFS از پروتکل SFTP بهره می برد که مدیریت فایل، دسترسی امن و همچنین انتقال داده ها را در سیستم فایل های جداگانه (Klein، 2005) افزایش می دهد.

سرور لینوکس تنها می تواند به طور موثر از طریق مدیر که به خوبی شناخته شده محافظت می شود. این کار را می توان از آن انجام داد که جریان اطلاعات قابل اطمینان در مورد روند امنیتی که مربوط به توزیع لینوکس مربوطه و نیز بسته های نرم افزاری نصب شده است، انجام می شود. بسیاری از آسیب پذیری ها در طول زمان در بسته های نرم افزاری لینوکس دیده می شود و می توانند توسط مهاجمان در سرورهای خطرناک مورد استفاده قرار گیرند. با توجه به لیست های پستی که با چالش های امنیتی در مدیران توزیع لینوکس مواجه می شوند، می توانند به سرعت به روز رسانی سیستم و همچنین حذف آسیب پذیری عمل کنند. بنابراین مهم است که لیست پستی امن را در توزیع های لینوکس استفاده کنید. مدیران اطلاعات جمع آوری شده می توانند تصمیم بگیرند که سیستم را می توان به روز رسانی کرد و همچنین بسته های نرم افزاری که می تواند در سرورها استفاده شود.

مدیر بسته بسته ی یام برای توزیع apt-get و یا red hat توصیه می شود که برای نصب و راه اندازی کارآمد و همچنین به روز رسانی بسته های نرم افزاری و وابستگی های مربوطه تضمین می کند. همچنین باعث حذف موثر بسته های نرم افزاری می شود. مدیران بسته به طور مکرر امضای دیجیتال بسته را بررسی می کنند و اگر چنین بسته هایی امضا های نامعتبر را اجتناب کنند، از نصب جلوگیری کنند. مدیران باید مخازن نرم افزار استاندارد را که توسط فروشندگان پیشنهاد شده اند، استخدام کنند. بسته های نرم افزاری نیز می توانند از چندین مخزن بازیابی شوند، اما این نیاز به اقدامات احتیاطی اضافی دارد. برای مدیران محتاطانه است که نسخه های جدید بسته ها را قبل از به روز رسانی آنها برای ارزیابی ثبات و همچنین هرگونه چالش امنیتی احتمالی مورد بررسی قرار دهند. نصب باید فقط به نرم افزارهایی که در مخازن رسمی وجود ندارد، رخ دهد. این بسته ها همچنین می توانند از یک شماره در صورت مخزن، اما با مراقبت های اضافی، به دست می آیند. بسته های نرم افزاری غیر رسمی در یک چهره آزمایشی نباید بر روی سرورهای لینوکس (Ko، 2011) نصب شود.

اعتقاد بر این است که ضبط یک لیست از بسته های نصب شده و همچنین نسخه های قبلی آنها بهترین عمل است. این به این دلیل است که مدیر قادر به دسترسی به آخرین نسخه های ثابت خواهد بود. اگر بسته های جدید تهدیدی برای ثبات سرور باشد، مدیر می تواند نسخه های نصب شده را قبلا به دست آورد و آنها را دوباره نصب کند. مدیران می توانند سیستم را برای به روز رسانی خودکار بسته های نرم افزاری تنظیم کنند، هرچند که معمولا توصیه نمی شود. بهترین روش این است که هر بار بروز رسانی بسته ها را تأیید کنید.

مدیر همچنین می تواند مدیران بسته را به ارسال اعلان های متناوب از ایمیل که در آن او می تواند لیست تمام بسته های که می تواند سرور به روز رسانی قرار داده است. پس از بازبینی این بسته ها، مدیر بر تصمیم گیری در خصوص آپدیت جداگانه هر بسته بسته می شود. ارسال متوقف از ایمیل ها از طریق مدیریت بسته یام می تواند در فایل پیکربندی (Kruegel، 2003) پیکربندی شود. مهم است که سرویس Update به روز رسانی Yum را تغییر داده و تغییرات را در فایل پیکربندی انجام دهید. مدیران که توزیعهای Debian را استخدام می کنند در نصب و همچنین استفاده از بسته نرم افزاری apticron، به منظور تضمین کنترل روزمره در به روز رسانی بسته ها و همچنین اطلاعیه های ایمیل، مورد تأیید قرار می گیرند. در پرونده پیکربندی برای نرم افزار بسته apticron، محتمل است که آدرس ایمیل که در آن اعلان ارسال می شود را وارد کنید. در صورتی که مدیر به اندازه کافی در تعریف بسته های مورد نیاز در سرورها به اندازه کافی تجربه شده است، یک عمل تصفیه شده ای است که یک مخزن محلی در چنین شبکه ای ایجاد می شود. مخازن نسخه های معروف و همچنین نسخه های پایدار را می توان در یک سرور لینوکس که دیگر سرورهای شبکه بتوانند بسته ها را بازیابی کنند، تولید می کنند. چنین راه حل هایی نیاز به بررسی دقیق از همه بسته ها قبل از ذخیره سازی آنها در مخزن محلی است.

سرورهای لینوکس از طریق چندین سرویس در یک مورد چندگانه کار می کنند. این منجر به استفاده از سرور از لحاظ اقتصادی و همچنین بهره وری مطلوب می شود. با این وجود، مدیر سیستم باید رعایت قانون طلایی امنیتی ادامه دهد. این تضمین می کند که سیستم به عنوان خدمات بسیار محترم در آن است. راه حل کامل هنگامی که هر سرور لینوکس تنها یک سرویس را به کاربران نهایی ارائه می دهد (Lane، 2010) به دست می آید.

تعدادی از ابزارهایی وجود دارد که می تواند برای افزایش امنیت استفاده شود. آنها دسترسی غیر مجاز به تلاش های مخرب و همچنین خدماتی را که می تواند سرور لینوکس را تشخیص دهد، محدود می کند. لینوکس دارای چندین ابزار امنیتی ذاتی برای مثال SELinux و Netfilter است. Netfilter یک تابع است که اغلب به عنوان پروتکل های شبکه های پروسس نیز مورد استفاده قرار می گیرد. این را می توان در مورد تمام سیستم های لینوکس که دارای 2.4 و نسخه های بالاتر از هسته هستند یافت می شود.

یک مکانیسم جدید برای شناسایی ناشناخته ها لینوکس / IOS حمله

آسیب پذیری های وب مبتنی بر وب بخش های قابل توجهی از امنیت شبکه های رایانه ای را فراهم می کند. برای تضمین شناسایی حملات شناخته شده که در سیستم های تشخیص سوء استفاده از وب یافت می شوند، دارای امضای زیادی هستند. با این حال، آسان نیست که پیش از هر چیز آشکار سازی آسیب پذیری های روزانه مرتبط با وب را پیش ببریم. جدا از این آسیب پذیری ها می تواند از طریق نصب برنامه های کاربردی مبتنی بر وب مشخص شود. این بدان معنی است که سیستم های تشخیص سوء استفاده باید توسط برنامه های کارآزمایی بی نظیر (لی، 2000) کمک شود.

این مقاله یک سیستم کشف نفوذ را پیشنهاد می کند که روش شناسایی آنومالی مشخص را در تشخیص حمله ناشناخته لینوکس / IOS به کار می گیرد. این سیستم تمایل به ارزیابی درخواستهای مختلف مشتری را دارد که مرجع برای تعدادی از برنامه های سرور است و مدل ها را برای طیف وسیعی از ویژگی های متمایز برای این سؤالات تولید می کند. برخی از این ویژگی ها شامل برنامه هایی که در خدمت برنامه هستند، الگوهای ارزیابی و همچنین مقادیر هر پارامتر را در فراخوانی آن ارزیابی می کنند. به ویژه استخدام ویژگی های خاص از پارامترهای مورد استفاده، سیستم را به انجام یک ارزیابی متمرکز و تولید تعداد حداقل تعداد مثبت کاذب.

این سیستم به طور خودکار پروتکل های پارامترهایی که به برنامه های وب مرتبط هستند، به عنوان مثال طول آنها و همچنین ساختار آنها و ارتباط بین پرس و جو ها، به صورت خودکار در می آید. این بدان معنی است که می توان آن را در محیط های مختلف کاربردی بدون نیاز به تنظیم یا تنظیم پیکربندی زمان مورد استفاده قرار داد. نرم افزار تشخیص آنومیایی که در این مقاله ارائه شده است، به شکل وب سرورهای ورودی وب مطابقت دارد که دارای الگوریتم Common Log Format (CLF) است که نمره ای را تولید می کند که برای هر درخواست وب (Nature Liberty، 2002) بی نظیر است.

خلاصه تر، روش های ارزیابی که توسط این ابزار استفاده می شود، بر روی نمایش مشخصات ساختاری خاص HTTP که دارای پارامتر هستند، سرمایه گذاری می کنند. چنین پارامترهای دسترسی به الگوها و همچنین پارامترهای آنها در مقایسه با پروفایل های مندرج که خاص به برنامه یا هر برنامه ای است که در طبیعت فعال است، قابل مقایسه است. این استراتژی به افزایش روش ارزیابی بسیار متمرکز در مورد روش های تشخیص ناهنجاری عمومی می پردازد که برای برنامه های خاص مورد استفاده قرار نمی گیرند.

Detection Anomaly بستگی به مدل رفتار کاربر و همچنین برنامه های کاربردی دارد و تمایل دارد که انحراف از رفتار عادی را به عنوان مدرک فعالیت های مخرب تفسیر کند. فرض این است که الگوهای حمله متفاوت از رفتار عادی است. تشخیص آنومالی فرض می کند که اختلاف می تواند به صورت کمی و کیفی بیان شود. استراتژی تشخیص پیشنهادی درخواست های HTTP را همان گونه که توسط اکثر سرورهای وب معمولی وارد شده است، ارزیابی می کند. ارزیابی متمرکز بر درخواستهایی است که از پارامترهایی استفاده می کنند که مقادیر را به اسناد فعال منتقل می کنند. بیشتر از این، ورودی فرایند تشخیصی از یک مجموعه ای از URI هایی که U = {u1، u2،. . . ، um} و از درخواست های موثر GET استخراج شده است؛ کد های بازگشتی آن بیشتر یا برابر با 200 هستند، اما باید کمتر از 300 باشد (Liljenstam، 2003).

URI UI نشان دهنده عناصر مسیر منبع مورد نظر، یک جزء جایگزین اطلاعات مسیر (pinfoi) و همچنین یک رشته جایگزین پرس و جو (q) است. رشته پرس و جو در عبور از پارامترها به منابع ارجاع داده شده است، جایی که توسط کاراکترهای ''؟ '' اشاره شده است. یک رشته پرس و جو شامل لیست های مرتب شده از n جفت از صفات در کنار مقادیر مشابه آن است. در این مورد q = (a1، v1)، (a2، v2)،. (an، vn) که در آن ai 2 A است مجموعه ای از صفات است در حالی که vi یک رشته است.

روش ارزیابی بر رابطه بین ارزش ها، برنامه ها و پارامترها متمرکز است. URI هایی که فاقد رشته های پرس و جو هستند در نظر گرفته نمی شوند و بنابراین از U حذف می شوند. به غیر از URI، پارتیشن U به زیر مجموعه های Ur وجود دارد. در نتیجه، تمام برنامه های ارجاع شده r به پرسش های مربوط به Ur اختصاص دارد. فرآیند تشخیص ناهنجاری، از چندین مدل مجزا در مجموعه ای از مدل های مختلف استفاده می کند تا اشاره ای به نوشته های غیرعادی داشته باشد. می توان گفت که مدل یک مجموعه از مکانیزم های مورد استفاده در ارزیابی ویژگی های پرس و جو خاص است. این ویژگی می تواند با کاراکترهای تک درخواست (Lindqvist، 2001) همراه باشد.

با در نظر گرفتن تقریب توزیع طولی با پارامترهای l و r2، فاز تشخیص برای ارزیابی یک آنومالی پارامتر که طول آن l است، می باشد. این کار از طریق محاسبه فاصله طول l از توزیع میانگین میانگین طول انجام می شود. این را می توان با استفاده از نابرابری چبیشف بیان کرد. فقط رشته هایی که طول آن بیش از تو هستند، به عنوان مخرب درک می شوند. این در محاسبه احتمالات آشکار شده است، زیرا رشته های مرزی بالاتری نسبت به میانگین و در نتیجه مربوط است. طبقه بندی استراتژی های تشخیص نفوذ به سوء استفاده و ناهنجاری مبتنی بر تمایل دارد به صورت متناوب در رابطه با روش خاصی که به منظور حمل حملات مخرب و عادی مورد استفاده قرار می گیرد، باشد. در برخی موارد، امضا در مشخصات کاربری رفتار پیش بینی شده (Mahoney، 2002) مورد استفاده قرار می گیرد.

نتیجه

لینوکس ناشناخته / حمله IOS باید با استفاده از ابزار و تکنیک هایی که شامل دقیق قرار گرفتن در معرض امضا با سیستم تشخیص انعطاف پذیری نفوذ مبتنی بر انحراف است، مورد رسیدگی قرار می گیرد. این مقاله استراتژی جدیدی را برای شناسایی ناهنجاری های ناشناخته Linux / IOS ارائه کرده است. این به عنوان ورودی های HTTP نمایش داده می شود که از پارامترها تشکیل شده است. این سیستم پیشگامان آنومالی اصلاح شده برای شناسایی لینوکس ناشناخته / IOS است. این براساس برنامه ارتباطات مشخص بین برنامه های سرور لینوکس و پارامترهایی است که در فراخوانی آنها مورد استفاده قرار می گیرد. به طور ایده آل این نرم افزار برای تنظیمات خاص نصب نمی شود. همچنین ویژگی های پرس و جو از آموزش داده ها را می آموزد. با این حال، میزان حساسیت آن با داده های غیرمستقیم می تواند از طریق آستانه هایی تنظیم شود که می تواند متناسب با سیاست های مختلف سایت باشد.

منابع

آلگرگن، م. دبیر، م. داسیور، (2000)، یک ابزار سبک برای تشخیص حملات سرور وب، در: مقالات سمپوزیوم ISOC در شبکه و امنیت سیستم های توزیع شده، سان دیگو، کالیفرنیا

Denning DE، (2012)، یک مدل تشخیص نفوذ، عملیات IEEE در مهندسی نرم افزار 13 (2) 222-232.

Feng، HJ Giffin، Y. Huang، S. Jha، W. لی، B. Miller، (2004). تجزیه و تحلیل حساسیت در تجزیه و تحلیل استاتیک برای تشخیص نفوذ در: مقالات سمپوزیوم IEEE در امنیت و حفظ حریم خصوصی، اوکلند، CA،.

فارست، S. (2010)، احساس خود برای فرایندهای یونیکس، در: مقالات سمپوزیوم IEEE در مورد امنیت و حفظ حریم خصوصی، اوکلند، CA، ص. 120-128.

Ghosh، AKJ Wanken، F. Charron، (2007)، تشخیص نفوذ غیرمستقیم و ناشناخته علیه برنامه ها در: مقالات کنفرانس سالانه امنیت رایانه (ACSAC_98)، Scottsdale، ، ص. 259-267.

Ilgun، RA Kemmerer، PA Porras، K. (2011) تجزیه و تحلیل انتقال دولت: سیستم تشخیص نفوذ مبتنی بر قانون، معاملات IEEE در مهندسی نرم افزار 21 (3) 181-199.

جاویتس، ا. والدس HS (2010)، شناسه آماری آماری SRI IDES، در: مقالات سمپوزیوم IEEE در امنیت و حفظ حریم خصوصی اوکلند، کالیفرنیا

کلاین دی.، (2005)، دفاع از ویلسورفر: حملات و دفاعهای مبتنی بر وب، در: مقالات کارگاه USENIX در مورد تشخیص نفوذ و نظارت بر شبکه، سانتا کلارا، CA ،.

Ko، CM Ruschitzka، K. Levitt، (2011)، نظارت بر اجرای برنامه های امنیتی بحرانی در سیستم های توزیع شده: یک رویکرد مبتنی بر مشخصات، در: مقالات سمپوزیوم IEEE در مورد امنیت و حریم خصوصی اوکلند، CA، ص. 175-187.

Kruegel، CD Mutz، WK Robertson، F. Valeur (2003)، طبقه بندی رویداد بیزی برای تشخیص نفوذ در: مجموعه مقالات کنفرانس سالانه امنیت رایانه (ACSAC 2003)، لاس وگاس، NV،.

لین، TCE بردی، (2010)، یادگیری دنباله زمانی و کاهش داده ها برای تشخیص ناهنجاری، در: مقالات کنفرانس ACM در مورد کامپیوتر و امنیت ارتباطات، سان فرانسیسکو، CA، ACM Press، نیویورک، ص. 150-158.

لی، WS Stolfo، (2000)، چارچوب برای ساخت ویژگی ها و مدل های برای سیستم های تشخیص نفوذ، ACM معاملات در اطلاعات و امنیت سیستم 3 (4) 227-261.

Liberty، DJ Hurwitz، (2002)، برنامه نویسی ASP.NET، O_Reilly، Sebastopol، CA.

لیلینستام، دکتر نیکول، واکر برک، رابرت گری (2003)، شبیه سازی واقعی ترافیک شبکه کرم برای طراحی و آزمایش سیستم هشدار دهنده کرم در: مقالات کارگاه ACM در Malcode سریع، واشنگتن دی سی، ص. 24-33.

Lindqvist، M. Almgren، U. (2001)، مجموعه داده جمع آوری اطلاعات برای نظارت بر امنیت، در: مقالات پیشرفت های اخیر در تشخیص نفوذ (RAID)، دیویس، CA، اکتبر 2001، LNCS، Springer، ص. 22-36.

Mahoney، P. Chan، M. (2002)، یادگیری مدل های غیر استثنایی ترافیک شبکه معمولی برای تشخیص حملات جدید در: مقالات کنفرانس بین المللی 8th Discoveryand Data Mining، ادمونتون، آلبرتا، کانادا، ص. 376-385.

Paxson، V. (2008)، Bro: یک سیستم برای تشخیص نفوذ شبکه در زمان واقعی، در: مقالات سمپوزیوم امنیتی USNIX 7th، سن آنتونیو، TX.

پین آن
پیوست ها:
پروندهشرححجم فایل
این فایل را دانلود کنید (a_new_mechanism_to_detect_unknown_linux_IOS_attacks.pdf)یک مکانیسم جدید برای شناسایی ناشناخته ها لینوکس / IOS حملهیک مکانیسم جدید برای شناسایی ناشناخته ها لینوکس / IOS حمله476 کیلوبایت

نمونه های بیشتر نمونه

پیشنهاد ویژه!
استفاده کنید کوپن: UREKA15 برای دریافت 15.0٪ تخفیف بگیرید

همه سفارشات جدید در:

نوشتن، بازنویسی و ویرایش

سفارش