מנגנון חדש לזהות לא ידוע לינוקס / IOS התקפות
1 1 1 1 1 1 1 1 1 1 5.00 דירוג (הצבעות 2)

מבוא

יצירת מטענים באמצעות MetaSploit ו MSF ארס

MSF Venom הוא כלי שורת פקודה שיעזור לצוות הבדיקה ליצור מטענים עצמאיים על מנת לבצע במכונות פגיעות ומערכות גישה מרחוק למערכות. MSF ארס הוא שילוב של MSF Payload ו- MSF לקודד אילו תמיכה אפשרויות שונות בבדיקת פגיעויות במערכת. חלק מהאפשרויות הללו availed על ידי MSF ארם כוללים שימוש מטען אשר מתאר כיצד להשתמש מטענים מותאמים אישית עבור הבדיקות, רשימה של מטענים שונים אופציות סטנדרטיות, מתאר את סוג מודול אשר עשויים לכלול מטענים, encoders, לקבוע את גודל האורך על המטען, פלט פורמט, רשימה פורמטים זמינים (אלמגרן, 2000).

ה- MSF Venom דורש גם את בודקי החדירה כדי לקבוע את סוג המקודד לשימוש, את ארכיטקטורת המערכת, את הפלטפורמה שבה יפעל המטען, את הגודל המקסימלי של המטען הנובע, את הגודל המקסימלי של המטען המקודד, רשימה של תווים שיש להימנע מהם במהלך את הבדיקות, את מספר הפעמים כדי לקודד את המטען, לציין קובץ הפעלה מותאמת אישית לשמש כתבנית ושימור של התנהגות תבנית הזרקת מטען. להלן תמונת מצב של MSF ארס האפשרויות השונות הזמינות עבור שלב בדיקות חדירה.

זוהי שפה המשמשת להסביר metaspoilt התוכנית. זה יכול להשתמש בכל שפה היא שפת ברירת המחדל.

השערה: כיצד ניתן להשתמש במושגים שליליים שלילי ושלילי כוזבים כדי לקבוע ניתוח רגישות במערכות.

חשוב לשמור ולהגן על המערכת מפני איומים מבוססי אינטרנט כאשר מפתחים ומעבדים מערכות מחשב ויישומים. ניתוח רגישות הוא מחקר מורכב של אי וודאות בתפוקה של מערכת מחשב או יישום. ניתוח הרגישות כרוך בבדיקת הנחות ומבחנים שונים על מנת לקבוע את רמת אי הוודאות ואת השפעת המשתנה על תפוקת המערכת (Denning, 2012).

מחקר זה חשוב כדי לקבוע את החוסן של המערכת על ידי בדיקת אי וודאויות, הגדלת ההבנה של היישום או המערכת כדי לזהות נקודות תורפה וחוזקות של המערכת או היישום. ניתוח הרגישות יסייע גם לצוות פיתוח המערכת וליישום לזהות אי וודאות ופגיעויות ובכך לסייע לצוות הפיתוח להפחית את אי-הוודאויות, השגיאות והפגיעות. זה גם עוזר בזיהוי חלקים של קלט המודל אשר אינו משפיע על הפלט, ובכך לסייע לפשט את מודל המערכת (פנג, 2004).

המחקר יעזור גם להגביר את התקשורת בין צוות הפיתוח ומקבלי ההחלטות להחלפת רעיונות ולהמלצות לשיפור המערכת בטרם יפורסם לציבור. המחקר מזהה גם גורמי קלט והשפעות על תפוקת המערכת כדי לקבוע את המדידות האופטימליות ואת הפרמטרים הרגישים במערכת אשר יכולים להשפיע על המערכת הסופית (פורסט, 2010).

מטרת מחקר זה היא לבחון מערכת של אי וודאויות וטעויות כדי לצמצם את הפגיעויות שעלולות לחשוף את המערכת כדי לפרוץ באמצעות איומים הקיברנטי. חלק מההתקפות שנבדקו כוללות התקפות לא ידועות וידועות. איומים ידועים והתקפות הם בעצם התקפות מזוהים היטב על ידי חתימות על אנטי וירוס וזיהוי חדירה מנועי מערכת ורשימות שחורות המוניטין מושלם. התקפות לא ידועות מאידך גיסא, הן חדשות ללא כל חתימת התקפה מוקלטת, ולכן הן מציבות איום חמור יותר, שכן מצב הפעולה שלהן אינו ידוע (גוש, 2007).

לאור זאת, המאמר יבחן כיצד לנצל את התפיסות השליליות החיוביות והשוואיות השגויות לבדיקת ניתוח הרגישות. חיוב כוזב הנקרא גם אזעקת שווא הוא תוצאת בדיקה המצביעה על מילוי תנאי מסוים. זוהי שגיאה מסוג I אשר בודק מצב יחיד למשל נוכחות של שגיאות קוד במערכת עם תוצאות אמת או שקר. שלילי שווא מצד שני הוא מבחן אשר מציין כי התוצאות במצב נבדק נכשל עדיין התוצאה בפועל היא מוצלחת. זוהי טעות מסוג II שבה נבדק מצב יחיד עם התוצאה או להיות חיובי או שלילי (Ilgun, 2011).

אחת היישומים המשמשים במאמר זה היא יישום MSF Venom וכלים Metasploit לביצוע בדיקות חדירה במערכת היעד או היישום. ארגון MSF הוא כלי שורת פקודה שיעזור למפתחי מערכות לייצר עומסי עומס עצמאיים במערכות פגיעות לגישה מרחוק למערכת. לעומת זאת, Metasploit הוא כלי בדיקה המאפשר לבוחני חדירת יישומים לעקוף פתרונות אנטי-וירוס המאפשר לצוות הבדיקות לייצר עומסים, לבצע פילוח רשת ולהגדיל את הביצועים והפרודוקטיביות של המערכת על ידי דיווח על תכונות מערכת והפעלת עדכונים אוטומטיים. מאמר זה יבחן בדיקות חדירה שיש לערוך כדי לבדוק פגיעויות במערכות, לזהות סוגי שגיאות והתקפות ולהמליץ ​​על דרכים לשיפור התפוקה של המערכת ולייעל את הפרודוקטיביות (Javitz, 2010).

התקפות ידועות ובלתי ידועות

התקפות סייבר מוכרות הן התקפות זדוניות על מערכות מחשב ויישומים שכבר ידועות לבודקי החדירה ואשר חתימתם כבר זוהתה. התקפות מוכרות מתחילות כבלתי ידועות וידועות רק כאשר הן זוהו כזדוניות באמצעות מעבדה אוטומטית או ידנית במעבדי ספק וחתימה שהוקצתה להם. רוב הפתרונות הנוכחיים של ניתוח דינמי משתמשים במדדים מתוחכמים כדי לזהות אם מטען שנוצר נוצר בזדוניות עם אלגוריתמים חזוייים המיושמים על מנת לאפיין את פעילות המטען (קליין, 2005).

ההתקפה הבלתי ידועה היא רק התקפה חדשה ללא חתימה. ההבדל בין התקפה ידועה ובלתי ידועה הוא הבדל של זמן, שכן עם הזמן הופך הלא ידוע. קובץ התוקפים יהיה פשוט מוכר על ידי מנועי החיפוש כמו זדוני ובכך ליצור את הצורך לזהות מטען שאינו ידוע מנוע החיפוש. זה יהיה כרוך ברכישת מנועי החיפוש הזמינים והפעלת קבצים זדוניים עד האקר מוצא אמצעי לעקוף את מנועי החיפוש ולהפוך את הקובץ הזדוני לגילוי (Ko, 2011).

העיצוב של מערכות מאובטחות העומדות בפני התקפות סייבר אינו קשה אך מורכב. בעבר מעצבים השתמשו כדי לבנות מנעולים חזקים מאוד באמצעות הצבת מנגנונים חזקים של אבטחה סביב המערכות שלהם בעבר האחרונות מעצבים השתנו ועכשיו הם בונים מערכות אשר עדיין בפעולה למרות המשך ההתקפות באמצעות מינוף על טכניקות כי הם גם שפותחה באמצעות עמידות בפני תקלות כמו גם מהימנות (Kruegel, 2003).

מטא-ספלויט

מושג הניצול שבור בדרך כלל למספר אלמנטים. תחילה זה מתחבר לפגיעות. לאחר התחברות הקוד הפגיע מקבל את נתוני המשא. לאחר מכן מנוצל הפגיעות על ידי העומס ויוצר סוג של רכיב. בהתאם לסוג המשא המועבר ניתן לחבר מחדש את רכיב המעטפת למטפל הנוצר בדרך כלל לפני מסירת המטען. עם יצירת הקשר, הקונכייה יכולה לקבל פקודות לחילוץ מידע מהמחשב הממוקד. זה יכול גם להרחיב את הפונקציונליות שלו באמצעות מסירת הקוד (ליין, 2010). בהצעת הגמישות בהעברת מטענים שונים מסוגים שונים, האלמנטים המנצלים נוטים להשתמש בממשק הגנרי שמציע רכיב המשא. ההוצאות להורג השונות של ממשק העומס מציעות עומסי מטען אופציונליים אשר עשויים להיות מופצים לפגיעות. גילוי של פגיעויות ופיתוח של ניצולים הוא משימה מאתגרת הקוראת להגות מחשבות שונות כמו גם למוטיבציה. ככל שיש כלים מסחררים במסגרות Metaspolit בגילוי של נקודות תורפה יש הרבה זמן בו המטספוליט יופעל בניצול נקודות תורפה ידועות שהוא תפקידו העיקרי (Lee, 2000).

אין זה צורך בפגיעויות להיות קיימות ברשת ובהתחשב בכך שרשתות הפכו למנהלי מערכת מאובטחים מאוד ואפילו משתמשים שאינם מיומנים הם בדרך כלל האלמנט הפגיע הממוקד. עם זיהוי משתמשים פגיעים, מסירת עלילות יכולה להיעשות באמצעות התקפות דיוג או באופן אישי באמצעות מבפנים מגויסים. כל האלמנטים המטמודליים נתפסים כחזיתות. לדוגמא, לאלמני החיבור עבור Metasploit במסגרת גנרית מוצעות שיחות API ליצירת קשרים עם כמעט כל שירותי המוניטין במערכת ההפעלה (Liberty, 2002).

אלמנטים מטען מציעים מסגרת לנצל עם קודים שיכולים להיות מיושמים על ההצלחה של ניצול. עם זאת, המפעילים אינם מתפקדים כמטענים, אלא מטעמי ביצוע הם חלק מהיררכיה של המטען. כדי למצוא שליטה מפורטת רחב של רשתות ממוקדות יש צורך להעמיס מטענים המסוגלים להשרב שרת סוג של אלמנטים על מכונות ממוקד. בנוסף היכולת שלהם צריך להיות מסוגל להאריך בכל פעם זה נחוץ (Liljenstam, 2003).

כדי להשיג פונקציונליות מסוג זה יש לשלב פרוטוקול כמו גם את הפקודה בצד התוקף וכן אלמנטים ניהוליים. ניתן לצפות במספר אלמנטים אלה במסגרת Metasploit. אלמנטים החזית של ממשק המשתמש מציעים ממשקים המחלחלים לתוקף לנהל כיצד ניתן לחבר מספר מטענים כמו גם מטפלים לאלמנטים המנצלים לפני השקתו. אלמנטים חזיתיים אלה כוללים מנהלים, בקרים, פרוקסי, צפיות, מעבדי פיקוד ופקודות. לאלמנטים של מאגרי מידע יש ממשקים המחלחלים לתוקף לאחסן את פרטי התצורה של התקפה (Lindqvist, 2001).

הקלד I, סוג II שגיאה

השגיאה מסוג 1 מכונה גם את החיובי השגוי, משום שהיא נוטה לדחות את השערת האפס גם כאשר היא נכונה. זה בעצם מקבל היפותזה אופציונלית כאשר התוצאות נתונות סיכוי. זה נוטה לקרות כאשר מסתכלים על הפערים שבהם אין. השגיאה מסוג ll נקראת גם חיובית כוזבת. זאת משום שהיא נוטה לדחות את השערת האפס כאשר ההיפותזה האופציונלית נחשבת למצב האמיתי של הטבע. זוהי טעות שבה אחד לא מקבל את ההשערה אופציונלית בשל היותו לא מספיק כוח. זה קורה כאשר אנשים אינם מצליחים להבחין פערים למרות יכול להיות אחד (Mahoney, 2002).

בדיקת ההשערה היא תהליך הבדיקה אם ניתן להסביר פערים בשתי התפלגויות שנדגמו באופן אקראי או לא. אם ניתן להסיק מסקנות כי קיימת דרך משמעותית בה שתי חלוקות משתנות, חייבת להיות אמצעי זהירות מספיק כדי לתפוס שהפערים אינם במקרה מקרי. שגיאות מסוג I אינן מאפשרות השערה לא מוצדקת ולכן אנשים נוקטים באמצעי זהירות להפחתת סיכויי ההתרחשות. בדרך כלל נעשים ניסיונות לקבוע שגיאות מסוג I כ- 0.05 או 0.01 כאשר יש רק סיכוי אחד או חמש מתוך 100 להתרחשות תופעות בכל הקשור למידת המשמעות. עם זאת, לא מובטח ש- 0.05 או 0.01 הם נדירים מספיק, ולכן יש צורך לבחור בזהירות ברמות משמעותיות. בדיקות מרובות שהיא התוספת הסבירה בשגיאות מסוג I מתרחשת בכל פעם שיש שימוש חוזר בשגיאות סטטיסטיות (Paxson, 2008).

מנגנון חדש אשר מזהה התקפות לא ידועות כדי להפוך אותם ידוע

לא ניתן לבנות מערכת סובלנות לפלישות שיכולה לשרוד למשך זמן משמעותי מבלי להתמודד עם אתגרי התקפות לא ידועים כמו גם משאבי כישלון מוגבלים. זה נכון להקשיח את המערכת כדי להעריך את גורם העבודה של היריב. עם זאת, הזמן הדרוש לאיתור פגיעויות המתעוררות בכל מערכת וכן פיתוח ניצולו עשוי להיות איכשהו גדול (Almgren, 2000).

ליריב שנקבע זה יכול להיות גם זמן כמו כסף. עם התפתחות התקיפה נדרש זמן מוגבל לביצוע. ברוב המקרים יש זמן מוגבל ליצירת גרסאות התקפה פשוטות. במקרה שסביבת האיום של מערכת סובלנית לפריצות כרוכה ביריבים שמספקים היטב, המערכת צריכה להיות מסוגלת להתמודד עם הרבה התקפות שאינן ידועות (Denning, 2012). שרתי לינוקס

לינוקס הפכה לבחירה פופולרית למערכות הפעלה בסביבת השרתים. הגרעיניות כמו גם גמישות של הגדרות, אבטחה, ביצועים גבוהים, כמו גם אמינות הם היתרונות שלה בהשוואה למערכות אחרות. בהתחשב במגבלות התשתיתיות, שירותים רבים מתארחים בשרת אחד, ובכך מממשים את האתגר של האופן שבו שרת Linux יכול להיות מוגן. נוהלי הגנת השרתים של לינוקס אינם יכולים להיות חוויה בלתי פוסקת, אלא מנגנון קבוע המתמשך כל עוד השרת נמצא בשימוש. המטרה היא להגביר את האבטחה ולזהות במהירות אתגרים (פנג, 2004).

עם ההתקנה של שרת לינוקס זה קריטי כי שירותים מיותרים מושבתים. יש להסיר גם חבילות מיותרות. האיום הגדול ביותר על חבילות לינוקס נובע מחבילות תוכנה לא בטיחותיות המועסקים בביצוע מספר פקודות המגיעות ממיקומים מרוחקים. הם כוללים את פקודות R כגון; rsh, rexec ו rlogin. חבילות תוכנה אלה נוטות להעביר פקודות, שמות משתמש וסיסמאות באמצעות רשתות בהעדר הקלטה קודמת. עם יורט את התנועה התוקף יכול לראות את המידע אשר יכול להשהות אתגר אבטחה קריטי. לכן נדרש כי חבילות אלה נמחקים משרת לינוקס ומעסיקים פרוטוקולים אשר עושים שימוש בתקשורת מוצפנת למשל SSH.

מנהל השרת צריך לעשות שיקולים זהירים בשאלה האם זה קריטי למספר פרוטוקולים, כמו למשל פרוטוקול העברת הקבצים ו- Telnet, יש ללקוח וכן לתמיכה בשרת. חשוב להוריד קבצים משרתי FTP מבודדים. הפעלת שרת FTP שלא נעשה בו שימוש מהווה איום קריטי על שרתי לינוקס (פורסט, 2010).

מנהל שרתי לינוקס חייב להקים מערכת הפעלה לינוקס המציעה העברת קבצים מאובטחת בכדי לשפר את עדכון החבילה כמו גם את יישום התיקונים הרלוונטיים. כל הנתונים העוברים ברשתות אלה חייבים להיות מוצפנים על ידי מנהל המערכת ככל שניתן. מנהלי מערכות השתמשו ב- SSH כמו גם בפרוטוקולי Telnet בגישה מרחוק שלהם לשרת לינוקס.

עם זאת, Telnet כעת מוחלטת מכיוון שהיא אף פעם לא מצפינה נתונים שהיא מחליפה עם שרתים וזה כולל את אישורי המשתמשים. כל אדם ברשת זו שבין מנהל המחשבים, כמו גם השרת המתקשר, מסוגל ליירט מנות ולהשיג אישורי משתמשים ובכך לקבל שליטה מלאה בשרת. לפיכך, עדיף פרוטוקול SSH על פני פרוטוקול Telnet מסיבות אלה.

פרוטוקול SSH מספק הגנה על התקשורת בשרת באמצעות מתן הצפנה בסיסית אסימטרי. התקשורת בין שרתי SSH לבין לקוחות נוטה להיות מוצפן ובלתי מוסבר לצדדים שלישיים שיכולים ליירט מנות שהוחלפו. האימות של שרת SSH ניתן להשיג באמצעות שידור מוצפן של אישורי המשתמש. זה יכול גם להימנע באמצעות שימוש במפתחות אסימטריים שנוצרו באופן ידני שבו אין צורך להעסיק סיסמאות (Ghosh, 2007).

במקרה שהאימות מתבצע על ידי מקשים הנוצרים ידנית ללא העברת סיסמאות, מפתח האימות צריך להיות המכשיר שיכול לגשת לשרת לינוקס. העסקת אישורי משתמשים היא קריטית למנהלי מערכת להיכנס לשרת בו עובדים מחשבים שונים לצורך כניסה מבודדת לשרת. לצורך תקשורת ואימות מתואם בין שני שרתי לינוקס, חשוב מאוד להשתמש במפתחות אסימטריים ידניים. זאת מכיוון שיש צדדים קבועים לתקשורת זו ובכך נמנעים מהדרישה לכתוב סיסמאות על הקבצים.

ערוצי תקשורת מאובטחים

אם יש צורך בהעברת קבצים בין שרתי לינוקס ומכונות מרוחקות, יש לעשות זאת באמצעות ערוצי תקשורת מאובטחים. פרוטוקול ה- FTP פופולרי מאוד להעברת קבצים. עם זאת, הוא מתמודד עם סיכוני אבטחה דומים בדיוק כמו שמומלצים כך פרוטוקול Telnet. כמו כן, אפשרויות מאובטחות כמו SCP, FTPS או SFTP. פרוטוקול העברת קבצים מאובטח (SFTP) נוטה ליצור תקשורת מאובטחת ומוצפנת באמצעות תוכניות מרחוק כדי לשפר את הגישה לקבצים, להעביר אותם ולנהל אותם. פרוטוקול זה מעסיק גם מנהרת SSH במניפולציה של קבצים בשרתים מבודדים (Ilgun, 2011).

פרוטוקול העברת הקבצים Secure (FTPS) נובעת מה- FTP שנוסד ב- Transport Layer Security (TLS) וכן בשכבת ה- Secure Sockets Layer (SSL) אשר משפרים את ההעברה המאובטחת של נתונים. FTPS דומה מאוד לפרוטוקול פרוטוקול העברת Hypertext Secure (HTTPS) ודורש אישור דיגיטלי בשרתים. בהתחשב בעובדה כי צדדים אחרים לתקשורת צריך לסמוך על שרת דיגיטלי תעודה דיגיטלית זה יכול להבין אתגרים בביצוע של הפתרון כולו. אם יכולת ההעברה מועסקת לצורכי המערכת, כמו גם לצורך ניהול השרת, נדרשת פרוטוקול SFTP, שכן היא מספקת הרבה חלופות לניהול קבצים (Javitz, 2010).

במקרה שמועברים קבצים משרת לינוקס כשירות עבור משתמשי הקצה שלה, מומלץ להשתמש בפרוטוקול FTPS מכיוון שהוא משפר את אימות השרת באמצעות אישורים דיגיטליים. FTPS נוטה להפעיל את UDP או TCP 990 כמו גם את יציאות 989 כדי ליצור חיבורים ולהעברת קבצים. לפיכך חיוני שהנמלים הללו יישארו פתוחים על שרתי לינוקס. פרוטוקול ההעתקה המאובטח (SCP) המעסיק פרוטוקול SSH מבטיח את ההצפנה כמו גם את אימות הנתונים המוצפנים. תהליך זה זהה לזה שמשמש פרוטוקול SFTP. עם זאת, זו כוללת יותר יכולות מאשר רק העברת קבצים. SCP מעסיקה את היציאה 22 TCP כדי להבטיח העברה מאובטחת של קבצים.

על שרת לינוקס להיות מקום נוסף לאחסון נתונים שנאספו במהלך פעולות. מנהלים נוטים להפעיל מערכות מבודדות של קבצים בהרחבת יכולות השרת שלהם. שרתי לינוקס מחוברים בדרך כלל לשרתים מרוחקים לצורך אחסון נתונים ושימוש בחלק ממערכת הקבצים. ניתן לגשת למערכות קבצים מרחוק דרך רשתות ולמנהלי מערכות יש חוויות דומות כאילו מערכות הקבצים המרוחקות מוצפנות בשרת לינוקס. יש לאבטח מספיק העברת נתונים בין שרתים ומערכות קבצים מבודדות כדי לא לפגוע בנתונים שהועברו. מומלץ שמנהלי מערכות יפעילו את מערכת קבצי ה- Secure Shell File (SSHFS) המשפרת את תעסוקתם של מערכות מבודדות של קבצים בשרתי לינוקס. SSHFS מעסיקה את קישור ה- SSH להעברת נתונים מאובטחת ברשתות. באופן בסיסי SSHFS משתמש בפרוטוקול SFTP המשפר את ניהול הקבצים, גישה בטוחה וכן העברת נתונים במערכות קבצים מבודדות (Klein, 2005).

ניתן להגן על הניתוק של לינוקס רק על ידי כך שמנהל המערכת מתוודע היטב. ניתן לעשות זאת מכיוון שיש לו זרימה קבועה של מידע אמין על מגמות אבטחה הנוגעות להפצה לינוקס רלוונטית כמו גם חבילות תוכנה המותקנות. הרבה נקודות תורפה נמצאו לאורך זמן בחבילות תוכנה של לינוקס והן יכולות להיות מועסקות על ידי התוקפים בפגיעה בשרתים. נתוני רשימות תפוצה שמתמודדות עם אתגרי אבטחה במנהלי הפצה של לינוקס מסוגלים לפעול במהירות באמצעות עדכון בזמן של המערכת וכן על ידי ביטול פגיעויות. לפיכך חיוני להפעיל רשימות תפוצה מאובטחות בהפצות לינוקס. הוקמה על ידי מנהלי מידע שנאספו יכולים להחליט מתי ניתן לעדכן את המערכת וכן חבילות תוכנה שניתן להשתמש בהן בשרתים.

מנהל החבילות של יאם הומלץ על הפצות מתאימות או על Red Hat משום שהוא מבטיח התקנה יעילה כמו גם עדכון של חבילות תוכנה ותלות רלוונטיות. זה גם משפר מחיקה יעילה של חבילות תוכנה. מנהלי חבילות נוטים לבדוק שוב ושוב את החתימה הדיגיטלית של החבילה ולהימנע מהתקנה אם לחבילות כאלה יש חתימות לא חוקיות. על מנהלי מערכת להשתמש במאגרי התוכנה הסטנדרטיים שהוצעו על ידי הספקים. ניתן גם לאחזר חבילות תוכנה ממאגרים אחדים אך הדבר דורש אמצעי זהירות נוספים. מנהלים זהירים לאמת את הגרסאות החדשות של החבילות לפני שהם מעדכנים אותם כדי להעריך את היציבות שלהם, כמו גם אתגרי האבטחה הסבירים. התקנות צריכות לקרות רק לתוכנה שנעדרת במאגרים רשמיים. ניתן להשיג חבילות אלה ממספר אם מאגרים אך בזהירות יתרה. אין להתקין חבילות תוכנה לא רשמיות על פני בדיקות על שרתי לינוקס הייצור (Ko, 2011).

הקלטה של ​​רשימה של חבילות המותקנות כמו גם גרסאות העבר שלהם הוא האמין להיות הנוהג הטוב ביותר. זה כל כך, כי מנהל יוכל לגשת גרסאות יציב האחרון. אם חבילות חדשות הן איום ליציבות השרת, מנהל המערכת יוכל לקבל את הגירסאות שהותקנו קודם ולהתקין אותן מחדש. מנהלי מערכת יכולים להגדיר את המערכת לבצע עדכון אוטומטי של חבילות תוכנה, אם כי זה לא מומלץ בדרך כלל. השיטה הטובה ביותר היא לבצע אימות הדדי של כל עדכון של חבילות.

מנהל המערכת יכול גם להרכיב את מנהלי החבילות כדי לשלוח התראות לסירוגין על הודעות אימיילים בהן הוא יכול לרשום את כל החבילות שניתן לעדכן את השרת. בבדיקה של חבילות אלה מוטל על מנהל האתר לקבל החלטה לגבי העדכון הנפרד של כל חבילה. שליחת ההודעות המופרעות דרך מנהל החבילות של יאם יכולה להיות מוגדרת בקובץ התצורה (Kruegel, 2003). חשוב לחדש את השירות המעודכן של יאם לאחר ביצוע שינויים בקובץ המוגדר. מנהלי מערכת המפעילים הפצות של דביאן זוכים לשבחים בהתקנה וכן בהפעלת חבילת התוכנה apticron על מנת להבטיח בדיקות שגרתיות בעדכון החבילות וכן בהודעות בדוא"ל. בקובץ התצורה של תוכנת החבילה apticron כדאי להקליד את כתובת הדוא"ל שאליה תישלח ההודעה. אם למנהל יש ניסיון מספיק בהגדרת החבילות הנדרשות בשרתים הוא נתפס כמנהג מעודן לבוא עם מאגר מקומי ברשת כזו. ניתן ליצור מאגר של גרסאות חבילה ידועות כמו גם יציבות בשרת לינוקס אחד שבו שרתי רשת אחרים יכולים לאחזר את החבילות. פתרונות כאלה דורשים בדיקות מפורטות של כל החבילות לפני האחסון שלהן במאגר מקומי.

שרתי לינוקס נוטים לבצע ריבוי משימות באמצעות הצעה של מספר שירותים במקרה אחד. זה מוביל לכך שהשרת מנוצל כלכלית כמו גם יעילות מיטבית. עם זאת, על מנהל המערכת להמשיך ולהקפיד על כללי הזהב של האבטחה. זה מבטיח שהמערכת תהיה מאובטחת כמו השירותים המוערכים בה. הפיתרון המושלם מתקבל כאשר כל שרת לינוקס מציע שירות אחד בלבד למשתמשים הסופיים (ליין, 2010).

ישנם מספר כלים שניתן להשתמש בהם כדי לשפר את האבטחה. הם לרסן גישה לא מורשית ניסיונות זדוניים, כמו גם שירותים שיכולים conciliate שרת לינוקס. לינוקס יש מספר כלי אבטחה מובנים כגון SELinux ו- Netfilter. Netfilter היא פונקציה שבדרך כלל מיירט כמו גם תהליכים מנות של רשתות. זה יכול להימצא על כל מערכות לינוקס שיש להם 2.4 וגרסאות לעיל של הקרנל.

מנגנון חדש לזהות לא ידוע לינוקס / IOS התקפות

פגיעויות מבוססות אינטרנט מספקות חלקים ניכרים מחשיפות אבטחה של רשתות מחשבים. כדי להבטיח גילוי של התקפות ידועות שנמצאות במערכות גילוי לרעה באינטרנט נטולות להיות מצוידות בהרבה חתימות. עם זאת, לא קל להיות מעודכן עם חשיפה מיום ליום של פגיעויות הקשורות ברשת. מלבד זה ניתן להציג פגיעויות באמצעות יישומים מבוססי אינטרנט המותקנים בהתקנה. משמעות הדבר היא שמערכות גילוי לא נכון צריכות להיעזר ביישומי בילוש חריגים (Lee, 2000).

מאמר זה מציע מערכת הבלשים חדירה המשתמשת שיטת זיהוי אנומליה שונים באיתור של התקפות לינוקס / IOS לא ידוע. מערכת זו נוטה להעריך שאילתות לקוח שונות אשר יש התייחסות למספר תוכניות שרת ומייצר מודלים עבור מגוון רחב של תכונות ברורות לשאלות אלה. חלק מהתכונות הללו כוללות את הצד לשרת תוכניות להעריך דפוסים כמו גם את הערכים עבור כל פרמטר של הפניה שלו. במיוחד את ההעסקה של תכונות ספציפיות היישום של פרמטרים מופעל מחלחל המערכת לבצע הערכה מרוכזת וליצור מספר ממוזער של תוצאות שווא שגויות.

מערכת זו נוטה לגזור אוטומטית את פרופילי הפרמטרים המקושרים ליישומי אינטרנט, למשל באורך שלהם, כמו גם למבנה שלהם ולקשר בין שאילתות. פירוש הדבר שהוא מסוגל לפרוס בסביבות ישימות שונות ללא צורך בכוונון או תצורה שנצרכת זמן רב. אפליקציית איתור החריגות המוצגת במאמר זה נוטה להתאים בצורה של שרתי אינטרנט קלט קבצי אינטרנט שיש להם התאמה לפורמט ה- Log Log (CLF) המייצרים ציון שהוא חריג באופיו עבור כל בקשת אינטרנט (Liberty, 2002).

באופן תמציתי יותר, שיטות ההערכה המשמשות בכלי זה מנצלות שאילתות ספציפיות של מבנה HTTP שיש להן פרמטרים. דפוסי גישה אלה שאילתות כמו גם הפרמטרים שלהם נוטים להיות לעומת פרופילים מנוהלים אשר בפרט לתוכנית או כל תוכנית פעילה בטבע כי ניתן להפנות. אסטרטגיה זו נוטה להגביר את ההערכה המרוכזת ביותר בכל הנוגע לשיטות האיתור של אנומליה גנרית, אשר אינן אחראיות לתוכניות מסוימות המופעלות.

גילוי חריגות תלוי במודלים של התנהגויות מיועדות למשתמשים כמו גם ביישומים ונוטה לפרש סטיות מהתנהגות רגילה כעדות לפעילות זדונית. ההנחה היא שדפוסי התקיפה נוטים להיות שונים מהתנהגות רגילה. גילוי חריגה מניח כי ניתן היה לבטא את הפער הן מבחינה כמותית והן מבחינה איכותית. אסטרטגיית הגילוי המוצעת מעריכה בקשות HTTP באותה דרך בה נרשמים על ידי מרבית שרתי האינטרנט הרגילים. ההערכה מתרכזת בבקשות המעסיקות פרמטרים שמעבירים ערכים למסמכים פעילים. יותר מכך קלט תהליך הגילוי מורכב ממערכת URIs שמוזמנת U = {u1, u2,. . . , um} והוצא מבקשות GET יעילות; קודאי ההחזר שלהם נוטים להיות יותר או שווים ל- 200 אך אמורים להיות פחותים מ- 300 (Liljenstam, 2003).

ממשק ה- URI בא לידי ביטוי בסימני אלמנטים של נתיב המשאב הרצוי, רכיב חלופי במידע נתיב (pinfoi), כמו גם מחרוזת אלטרנטיבית לשאילתה (q). מחרוזת השאילתה משמשת בהעברת פרמטרים למשאבים שהוזכרו בהם היא מציינת על ידי תווים ''? ''. מחרוזת שאילתה מורכבת מרשימות מסודרות של n זוגות של תכונות לצד הערכים האנלוגיים שלהן. במקרה זה q = (a1, v1), (a2, v2),. (an, vn) כאשר ai 2 A, הוא מערך של תכונות בעוד vi הוא מחרוזת.

נוהל ההערכה מתרכז בקשר שבין ערכים, תוכניות ופרמטרים. URIs ללא מחרוזות שאילתה נחשבים כלא רלוונטיים ובכך מוחלשים מ- U. מלבד ה- URI יש חלוקה של U למקבצי משנה Ur. כתוצאה מכך, כל התוכניות המופנות r מוקצות לשאילתות המתאימות Ur. תהליך איתור חריגות מעסיק מספר דגמים מובחנים בקבוצת דגמים שונים כדי להצביע על ערכים חריגים. ניתן לומר כי מודל הוא קבוצה של מנגנונים המופעלים בהערכת תכונות שאילתה ספציפיות. ניתן לשייך לתכונה זו תווי שאילתה בודדים (Lindqvist, 2001).

לאור חלוקת מאפייני השאילתה המקורבת של אורך עם פרמטרים l ו- r2, זה עד לשלב הגילוי כדי להעריך אנומליה של פרמטר שאורכה l. זה נעשה באמצעות חישוב המרחק l אורך מערך הממוצע הממוצע של חלוקת האורך. ניתן לבטא זאת באמצעות אי השוויון בצ'בישב. רק מיתרים שאורכם עולה עלייך נתפסים כזדוניים. זה משתקף בחישוב ההסתברות מכיוון שהגבול העליון של המיתרים ארוך יותר לעומת הממוצע ולכן הוא רלוונטי. הסיווג של אסטרטגיות לגילוי חדירות לניצול לרעה ומבוססת חריגה נוטה להיות אורטוגונאלית ביחס לשיטה הספציפית הנהוגה לייחוס התקפות זדוניות או רגילות. בחלק מהמקרים, חתימות מופעלות על מפרט התנהגות הצפויה של משתמשים (Mahoney, 2002).

סיכום

התקפות לא ידועות של לינוקס / IOS חייבות להתמודד עם כלים וטכניקות הכוללות דיוק של חשיפה מבוססת חתימה עם מערכת גילוי חדירת גמישות חדירה. מאמר זה הציע אסטרטגיה חדשה לביצוע איתור אנומליות של התקפות Linux / IOS לא ידועות. זה משמש כשאלות HTTP קלט המורכבות מפרמטרים. זוהי מערכת חריגות גילוי החלוץ ששונתה לגילוי התקפות לינוקס / IOS לא ידועות. זה מנצל מתאם ספציפי של יישומים בין תוכניות שרת לינוקס ופרמטרים המשמשים בהזמנתם. באופן אידיאלי יישום זה אינו קורא לתצורות מסוימות של התקנה. היא גם לומדת את תכונות השאילתה שלה מאימוני נתונים. עם זאת, ניתן להגדיר את מידת הרגישות שלו עם נתונים חריגים באמצעות ספים שיכולים להתאים למדיניות אתר שונות.

הפניות

Almgren, MH Debar, M. Dacier, (2000), כלי קל לזיהוי התקפות שרת אינטרנט, ב: פרוטוקולים של סימפוזיון ISOC על רשת מערכות מבוזרות אבטחה, San Diego, CA ,.

Denning DE, (2012), מודל זיהוי פריצה, עסקאות IEEE בהנדסת תוכנה 13 (2) 222-232.

פנג, HJ Giffin, Y. Huang, S. Jha, W. Lee, B. Miller, (2004). פורמליזציה של ניתוח סטטי לזיהוי חדירות, ב: פרוטוקולים של IEEE סימפוזיון על אבטחה ופרטיות, Oakland, CA ,.

פורסט, ס (2010), תחושה של עצמי עבור תהליכים UNIX, ב: פרוטוקולים של IEEE סימפוזיון על אבטחה ופרטיות, אוקלנד, CA, עמ '120-128.

גוש, AKJ Wanken, F. Charron, (2007), זיהוי חדירות חריגות ובלתי ידועות לתוכניות, ב: פרוטוקולים של השנתי Computer SecurityApplication כנס (ACSAC_98), סקוטסדייל, , עמ '259-267.

האצ"ל, רה קמרר, הרשות הפלסטינית פורס, ק '(2011) ניתוח מעבר המדינה: מערכת מבוססת חדירות המבוססת על כללים, עסקאות IEEE בהנדסת תוכנה 21 (3) 181-199.

Javitz, א Valdes HS, (2010), גלאי אנומליה סטטיסטית SRI IDES, ב: פרוטוקולים של IEEE סימפוזיון על אבטחה ופרטיות, Oakland, CA ,.

קליין ד., (2005), הגנה נגד wilysurfer: התקפות מבוססות אינטרנט והתקנות, ב: הליכים של סדנת USENIX על איתור פריצה וניטור הרשת, סנטה קלרה, קליפורניה ,.

Ko, CM Ruschitzka, ק 'Levitt, (2011), ביצוע ניטור של תוכניות אבטחה קריטיות במערכות מבוזרות: גישה המבוססת על מפרט, ב: פרוטוקולים של IEEE סימפוזיון על אבטחה ופרטיות, Oakland, CA, עמ '175-187.

Kruegel, CD Mutz, WK רוברטסון, F. Vallur, (2003), סיווג אירוע בייסי עבור גילוי פריצה, ב: ההליכים של השנתי המחשב SecurityApplicatio ns כנס (ACSAC 2003), לאס וגאס, NV ,.

ליין, TCE ברודלי, (2010), למידה רצף הזמני והפחתת נתונים עבור anomalydetection, ב: פרוטוקולים של ACM כנס על אבטחת מחשבים ותקשורת, סן פרנסיסקו, קליפורניה, ACM Press, ניו יורק, עמ '150-158.

לי, WS סטולפו, (2000), מסגרת לבניית תכונות ומודלים עבור מערכות גילוי פריצה, עסקאות ACM על מידע ואבטחת מערכת 3 (4) 227-261.

ליברטי, DJ Hurwitz, (2002), תכנות ASP.NET, O_Reilly, סבסטופול, קליפורניה

לילגנשטאם, ד"ר ניקול, ו. ברק, ר. גריי, (2003), הדמיה תנועה ריאליסטית רשת תולעת עבור מערכת תולעת אזהרה עיצוב ובדיקה, ב: הליכים של סדנת ACM על Rapid MalCAD, וושינגטון, עמ ', 24-33.

לינדקוויסט, מ. אלמגרן, U. (2001), אוסף נתונים משולב יישומים עבור אבטחה, ב: ההליכים של ההתקדמות האחרונה איתור חדירה (RAID), דייוויס, קליפורניה, אוקטובר 2001, LNCS, Springer,, עמ '22-36.

מהוני, פ 'צ'אן, מ' (2002) לימוד מודלים לא-סטציונריים של תעבורת רשת נורמלית לאיתור התקפות חדשות, ב: פרוטוקולים של הכנס הבינלאומי 8th בנושא גילוי ידע, אדמונטון, אלברטה, קנדה, עמ '376-385.

Paxson, V. (2008), Space: מערכת לאיתור פולשים ברשת בזמן אמת, ב: פרוטוקולים של 7TH USENIX סימפוזיון אבטחה, סן אנטוניו, טקסס.

קבצים מצורפים:
פילהתיאורגודל הקובץ
הורד קובץ זה (a_new_mechanism_to_detect_unknown_linux_IOS_attacks.pdf)מנגנון חדש לזהות לא ידוע לינוקס / IOS התקפותמנגנון חדש לזהות לא ידוע לינוקס / IOS התקפות476 kB

עוד דוגמאות כתיבה

הצעה מיוחדת!
השתמש קופון: UREKA15 כדי לקבל הנחה של 15.0%.

כל ההזמנות החדשות ב:

כתיבה, שכתוב ועריכה

הזמן עכשיו