未知のLinux / IOS攻撃を検出するための新しいメカニズム
1 1 1 1 1 1 1 1 1 1 評価5.00(2の投票)

はじめに

MetaSploitとMSF Venomを使ってペイロードを生成する

MSF Venomは、テストチームが脆弱なマシンやシステムで実行してシステムにリモートアクセスするためのスタンドアロンペイロードを生成するのに役立つコマンドラインツールです。 MSF VenomはMSFペイロードとMSFエンコードの組み合わせで、システムの脆弱性をテストするためのさまざまなオプションをサポートしています。 MSF Venomによって利用されたこれらのオプションのいくつかはテストのためにカスタムペイロードを使用する方法を記述するペイロードの使用、様々なペイロード標準オプションのリスト、ペイロードを含むモジュールタイプの概要、エンコーダ、ペイロードの長さサイズの決定、出力format、利用可能なフォーマット(Almgren、2000)をリストします。

MSF Venomはまた、ペネトレーションテスタに、使用するエンコーダのタイプ、システムアーキテクチャ、ペイロードが動作するプラットフォーム、結果として得られるペイロードの最大サイズ、エンコードされたペイロードの最大サイズ、使用する文字のリストを決定するよう要求します。テスト(ペイロードをエンコードする回数)は、テンプレートとして使用されるカスタム実行可能ファイル、およびテンプレートの動作とペイロードインジェクションの保存を指定します。 以下は、侵入テスト段階で利用可能なMSF Venomのさまざまなオプションのスナップショットです。

これは、メタスプロイトプログラムを説明するための言語です。 デフォルトの言語は任意の言語を使用できます。

仮説:システム内の感度分析を決定するために、偽陽性および偽陰性の概念をどのように使用できるか。

コンピュータシステムやアプリケーションを開発および実行する際には、サイバーベースの脅威からシステムを保護し保護することが重要です。 感度分析は、コンピュータシステムまたはアプリケーションの出力における不確実性の複雑な研究​​です。 感度分析では、不確実性のレベルと変数がシステム出力に与える影響を判断するためのさまざまな前提条件とテストのテストが行​​われます(Denning、2012)。

この調査は、不確実性をテストすることによってシステムの堅牢性を判断し、アプリケーションまたはシステムの理解を深めることによってシステムまたはアプリケーションの脆弱性および強みを特定するために重要です。 感度分析は、システムおよびアプリケーション開発チームが不確実性と脆弱性を特定するのにも役立ち、したがって開発チームはこれらの不確実性、エラー、および脆弱性を軽減するのに役立ちます。 それはまた、出力に影響を与えないモデル入力の部分を識別するのを助け、従ってシステムモデルを単純化するのを助けます(Feng、2004)。

この調査はまた、開発チームと意思決定者との間で意見交換をしたり、システムが一般に公開される前にシステムを改善するための推奨を行うためのコミュニケーションを強化するのにも役立ちます。 この調査では、入力ファクタとシステム出力への影響も特定し、最終システムに影響を与える可能性があるシステム内の最適な測定値と感度の高いパラメータを決定します(Forrest、2010)。

このリサーチペーパーの目的は、システムがサイバー脅威によって侵害される可能性がある脆弱性を軽減するために、不確実性とエラーについてシステムをテストすることです。 テスト対象の攻撃には、未知および既知の攻撃があります。 既知の脅威と攻撃は、基本的に、ウイルス対策および侵入検知システムエンジンのシグネチャとドメインレピュテーションブラックリストによって明確に識別された攻撃です。 一方、未知の攻撃は記録された攻撃シグネチャを持たずに新しいものであり、その動作モードが未知であるため、より深刻な脅威となります(Ghosh、2007)。

このことを踏まえて、本稿では、誤検出および誤検出の概念を感度分析のテストに使用する方法を検討します。 誤検知とも呼ばれる誤検知は、特定の条件が満たされたことを示すテスト結果です。 これは、タイプIのエラーで、システム内のコードエラーの存在など、単一の状態をチェックして、結果がtrueまたはfalseのどちらかであることを示します。 一方、偽陰性はテストされている状態の結果が失敗したが実際の結果は成功していることを示すテストです。 これはタイプIIのエラーで、単一の条件がテストされ、結果が正または負のいずれかになります(Ilgun、2011)。

このペーパーで使用するアプリケーションの1つは、ターゲットシステムまたはアプリケーションで侵入テストを実行するためのMSF VenomアプリケーションとMetasploitツールです。 MSF Venomは、システム開発者がシステムにリモートアクセスするために脆弱なシステム上にスタンドアロンのペイロードを生成するのに役立つコマンドラインツールです。 一方、Metasploitは、アプリケーションペネトレーションテスターがアンチウイルスソリューションを回避し、ペイロードを生成し、ネットワークセグメンテーションをテストし、システム機能を報告して自動更新を有効にすることでシステムのパフォーマンスと生産性を向上させるテストツールです。 本稿では、システムの脆弱性をテストし、エラーや攻撃の種類を特定し、システムの生産性を向上させ、生産性を最適化する方法を推奨するために実施される侵入テストを検討する(Javitz、2010)。

既知および未知の攻撃

既知のサイバー攻撃は、侵入テスト担当者にはすでに知られており、そのシグネチャはすでに識別されているコンピュータシステムおよびアプリケーションへの悪意のある攻撃です。 既知の攻撃は未知のものとして始まり、自動化または手動でベンダラボで悪意のあるプログラムとして識別され、シグネチャが割り当てられた場合にのみ認識されるようになります。 現在の動的解析ソリューションのほとんどは、ペイロードアクティビティを特徴付けるために適用される予測アルゴリズムを使用して、生成されたペイロードが悪意のあるものであるかどうかを検出するために高度なメトリックを使用します(Klein、2005)。

未知の攻撃は、シグネチャを持たない新しい攻撃です。 既知の攻撃と未知の攻撃の違いは時間の差です。 攻撃者のファイルは単に検索エンジンによって悪意のあるものとして認識されるため、検索エンジンにとって未知のペイロードを識別する必要が生じます。 これには、ハッカーが検索エンジンを迂回して悪意のあるファイルを検出できないようにする手段が見つかるまで、利用可能な検索エンジンを購入し、悪質なファイルを実行することが含まれます(Ko、2011)。

サイバー攻撃に耐えることができる安全なシステムの設計は難しいだけでなく、非常に複雑です。 過去には、設計者はシステムの周囲に強力なセキュリティメカニズムを配置することで非常に強力なロックを構築していました。最近の設計者は変化し続けています。フォールトトレランスと信頼性によって開発されました(Kruegel、2003)。

メタスプロイト

エクスプロイトの概念は通常いくつかの要素に分けられます。 それは最初に脆弱性につながります。 接続されると、脆弱なコードはペイロードデータを取得します。 その後、この脆弱性がペイロードに悪用され、シェルタイプのコンポーネントが作成されます。 搬送されたペイロードの種類に応じて、シェルのコンポーネントは通常ペイロードを配信する前に生成されるハンドラに再接続される可能性があります。 接続が確立されると、シェルはターゲットのマシンから情報を抽出するためのコマンドを受け取ることができます。 また、コードを配信することで機能を拡張することもできます(Lane、2010)。 さまざまな種類のシェルペイロードの配信の柔軟性を提供する際に、エクスプロイト要素はペイロード要素によって提供される汎用インターフェースを使用する傾向があります。 ペイロードインターフェイスのさまざまな実行は、脆弱性に配布される可能性が高いオプションのシェルペイロードを提供します。 脆弱性の発見とエクスプロイトの開発は、やる気だけでなくさまざまな考え方を要求する困難な作業です。 Metaspolitフレームワークには、脆弱性の発見において目新しいツールが存在するのと同じくらい多くの時間がありますが、その主な機能である既知の脆弱性を悪用するためにMetaspolitが使用されるでしょう(Lee、2000)。

ネットワークが非常に安全な管理者になり、訓練されていないユーザーでさえも通常は標的とされる脆弱な要素であることを考えると、脆弱性がネットワークに存在することは必須ではありません。 脆弱なユーザーが特定されると、フィッシング攻撃を介して、または採用されたインサイダーを使用して直接的に悪用が行われる可能性があります。 すべてのメタモデル要素はファサードとして認識されます。 たとえば、Metasploitの汎用フレームワークのconnect要素には、OS上でほぼすべての有名なサービス(Liberty、2002)との接続を提供するためのAPI呼び出しがあります。

ペイロード要素は、エクスプロイトの成功時に実装される可能性のあるコードをエクスプロイトフレームワークに提供します。 ただし、ハンドラはペイロードとしては機能しませんが、実行上の理由から、クラスのペイロード階層の一部です。 対象となるネットワークの詳細な制御を見つけるためには、対象となるマシン上でサーバーのような要素を生み出すことができるペイロードを使用する必要があります。 さらに、これが必要なときはいつでもそれらの機能を拡張できる必要があります(Liljenstam、2003)。

この種の機能を取得するには、プロトコル、攻撃者側のコマンド、および管理要素を組み込む必要があります。 これらの要素の多くは、Metasploitフレームワークに見られます。 UIのファサード要素は、攻撃者が侵入する前に攻撃者に浸透して、ハンドラーだけでなく多くのペイロードが攻撃要素に付加される可能性がある方法を管理するためのインターフェースを提供します。 これらのファサード要素には、マネージャ、コントローラ、プロキシ、ビュー、コマンドプロセッサ、およびコマンドが含まれます。 データストア要素は、攻撃の設定詳細を格納するために攻撃者に浸透するインターフェースを持っています(Lindqvist、2001)。

タイプI、そしてタイプIIエラー

タイプ1エラーは、偽陽性とも呼ばれます。これは、真である場合でも帰無仮説を棄却する傾向があるためです。 結果が偶然にさらされるとき、それは本質的に任意の仮説を受け入れます。 それがないところで視差を観察するとき、それは起こりがちです。 タイプIIエラーは、誤検出とも呼ばれます。 これは、オプションの仮説が自然の本当の状態と見なされるときに帰無仮説を棄却する傾向があるためです。 それは、力が不十分であるために、任意の仮説を受け入れられないという誤りです。 たとえ個人差があるとしても、個人がその差異を遵守できない場合に起こります(Mahoney、2002)。

仮説の検定は、2つの標本化された分布の不一致がランダムな確率で説明できるかどうかを検定するプロセスです。 2つの分布が異なる意味のある方法があると結論を下すことができれば、格差は偶然の偶然によるものではないと認識するための十分な予防策がなければなりません。 タイプⅠの過誤は、不当な仮説を許さず、その結果、個人は発生確率を減らすのに用心します。 有意性の程度に関して、XNUMXから現象の発生の可能性がわずか1または5しかない場合、タイプIエラーをXNUMXまたはXNUMXとして設定することが従来から試みられている。 ただし、0.05または0.01が十分にまれであることが保証されているわけではないため、重要なレベルを慎重に選択する必要があります。 統計的エラーが繰り返し使用されるたびに、タイプIエラーの増加が見込まれる多重テストが行​​われます(Paxson、100)。

未知の攻撃を検出して既知のものにする新しいメカニズム

未知の攻撃課題や限られたフェイルオーバーリソースに対処せずに、有意な期間存続できる侵入耐性システムを構築することは不可能です。 敵対者の作業要因を理解するために、システムを強化することが賢明です。 しかし、あらゆるシステムで新たに発生する脆弱性の特定とその悪用の開発に必要な時間は、多少長くなる可能性があります(Almgren、2000)。

決心している相手にとって、これはお金と同様に時間にもなり得ます。 攻撃が発生すると、実行には限られた時間しかかかりません。 ほとんどの場合、単純な攻撃亜種の作成には限られた時間しかありません。 侵入耐性システムの脅威環境が十分にリソースを確保されている敵対者を必要とする場合、システムは未知の多くの攻撃に対処することができるはずです(Denning、2012)。 Linuxサーバー

サーバー環境のオペレーティングシステムでは、Linuxが一般的に選ばれています。 設定の細かさ、柔軟性、高性能、信頼性は、他のシステムと比較した場合のメリットです。 インフラ上の制限を考慮すると、1つのサーバーで多数のサービスがホストされているため、Linuxサーバーを保護する方法の課題が認識されています。 Linuxサーバー保護の慣行は一度限りの試練ではありませんが、サーバーが使用されている限り持続する永続的なメカニズムです。 目的は、セキュリティを強化し、課題を迅速に検出することです(Feng、2004)。

Linuxサーバーのインストール時に、不要なサービスを無効にすることが重要です。 不要なパッケージも削除する必要があります。 Linuxパッケージに対する最大の脅威は、遠隔地から来る多数のコマンドの実行に使用される安全でないソフトウェアパッケージに由来します。 それらは以下のようなRコマンドを含みます。 rsh、rexec、およびrlogin。 これらのソフトウェアパッケージは、以前の記録がない場合、ネットワークを介してコマンド、ユーザー名、およびパスワードを送信する傾向があります。 トラフィックを傍受すると、攻撃者は重大なセキュリティ上の課題を一時停止させる可能性のある情報を見ることができます。 そのため、これらのパッケージはLinuxサーバーから削除され、暗号化された通信、例えばSSHを利用するプロトコルを使用することが必要です。

サーバーの管理者は、サーバーサポートだけでなくクライアントを所有することが、ファイル転送プロトコルやTelnetなどの多くのプロトコルにとって重要であるかどうかについて慎重な考慮を払う必要があります。 独立したFTPサーバーからファイルをダウンロードすることが重要です。 使用されていないFTPサーバーの稼働は、Linuxサーバーにとって重大な脅威です(Forrest、2010)。

Linuxサーバーの管理者は、パッケージの更新と関連するパッチの適用を強化するためにファイルの安全な転送を提供するLinuxオペレーティングシステムを導入しなければなりません。 これらのネットワークを通過するすべてのデータは、可能であれば管理者によって暗号化される必要があります。 システムの管理者は、LinuxサーバへのリモートアクセスでSSHとTelnetプロトコルを使用してきました。

ただし、Telnetはサーバーと交換するデータを暗号化することはなく、ユーザーの資格情報も含まれるため、Telnetは絶対的なものになりました。 コンピュータ管理者と通信しているサーバーの間にあるこのネットワーク内の人は誰でもパケットを傍受し、ユーザーの資格情報を所有することができるため、サーバーを完全に制御できます。 SSHプロトコルは、これらの理由からTelnetプロトコルよりも優先されます。

SSHプロトコルは、非対称基本暗号方式を提供することによってサーバー内の通信保護を提供します。 SSHサーバとクライアント間の通信は暗号化されており、交換されたパケットを傍受する可能性がある第三者には説明がつかない傾向があります。 SSHサーバーの認証は、ユーザーの資格情報を暗号化して送信することによって実現できます。 これは、パスワードを使用する必要がない場合に手動で作成された非対称キーを使用することによっても回避できます(Ghosh、2007)。

認証がパスワードの転送なしに手動で生成されたキーによって行われる場合、認証キーはLinuxサーバにアクセスできるデバイスであるべきです。 ユーザー資格情報の使用は、管理者がサーバーにログインするために別々のコンピューターが使用されているサーバーにログインするために重要です。 2台のLinuxサーバー間の通信および協調認証では、手動で作成された非対称鍵を使用することが重要です。 これは、この通信には恒久的な関係者が存在するため、ファイルにパスワードを書き込む必要がないためです。

安全な通信チャネル

Linuxサーバーとリモートマシン間でファイルを転送する必要がある場合は、安全な通信チャネルを介して行う必要があります。 FTPプロトコルはファイル転送に非常に人気があります。 ただし、TelnetプロトコルやSCP、FTPS、SFTPなどの安全なオプションが推奨されるのと同じように、同様のセキュリティリスクに直面します。 Secure File Transfer Protocol(SFTP)は、ファイルへのアクセス、転送、およびファイル管理を強化するために、リモートデバイスを使用して安全で暗号化された通信を確立する傾向があります。 このプロトコルは、隔離されたサーバー内のファイルの操作にSSHトンネルも使用します(Ilgun、2011)。

ファイル転送プロトコルセキュア(FTPS)は、トランスポート層セキュリティ(TLS)およびデータの安全な転送を強化するセキュアソケット層(SSL)に基づいたFTPに由来します。 FTPSは、HTTPS(Hypertext Transfer Protocol Secure)プロトコルとほとんど同じで、サーバーにデジタル証明書を要求します。 他の通信関係者がマウントされたサーバーのデジタル証明書を信頼する必要があることを考えると、これによりソリューション全体の実行に課題が生じる可能性があります。 転送の能力がシステムの必要性とサーバー管理の目的のために採用されるならば、それが多くのファイル管理代替案を提供することを考えるとSFTPプロトコルが採用されることが要求される(Javitz、2010)。

ファイルがLinuxサーバーからエンドユーザー向けのサービスとして送信される場合は、デジタル証明書を使用してサーバーの認証を強化するため、FTPSプロトコルを使用することをお勧めします。 FTPSは、接続を確立してファイルを転送するために990ポートと同様にUDPまたはTCP 989ポートを使用する傾向があります。 したがって、これらのポートがLinuxサーバー上で開いたままになっていることが重要です。 SSHプロトコルを採用したSecure Copy Protocol(SCP)は、暗号化と暗号化されたデータの認証を保証します。 このプロセスはSFTPプロトコルで使用されるものと同じです。 しかし、これは単にファイルを転送するよりも多くの機能を含みます。 SCPはファイルの安全な転送を保証するためにポート22 TCPを採用しています。

Linuxサーバーには、操作中に収集されたデータを保管するための追加スペースが必要です。 管理者は、サーバーの容量を拡張するためにファイルの分離システムを使用する傾向があります。 Linuxサーバは通常、データを保存したりファイルシステムの一部を使用したりするためにリモートサーバに接続されています。 リモートファイルシステムはネットワーク経由でアクセスされ、システム管理者は、リモートファイルシステムがLinuxサーバーで暗号化されている場合と同様の経験を持っています。 サーバーと分離されたファイルシステムとの間のデータ転送は、転送されたデータを危険にさらさないように十分に保護されるべきです。 システム管理者は、Linuxサーバ上のファイルの隔離されたシステムの採用を強化するSecure Shell File System(SSHFS)を採用することをお勧めします。 SSHFSは、ネットワークでデータを安全に転送するためにSSHリンクを採用しています。 基本的にSSHFSはSFTPプロトコルを採用しており、ファイル管理、安全なアクセス、そして隔離されたファイルシステム上でのデータ転送を強化しています(Klein、2005)。

Linuxサーバーは、管理者が十分な情報を得ていることによってのみ効果的に保護することができます。 これは、適切なLinuxディストリビューションとインストールされたソフトウェアのパッケージに関するセキュリティの動向に関する信頼できる情報の一貫した流れを持っています。 Linuxソフトウェアパッケージには時間の経過とともに多くの脆弱性が発見されており、攻撃者がこれを悪用してサーバーを侵害する可能性があります。 Linuxディストリビューションのセキュリティ上の課題に取り組むメーリングリストを考えれば、システムのタイムリーなアップデートと脆弱性の排除によって迅速に行動することができます。 そのため、Linuxディストリビューションでは安全なメーリングリストを採用することが重要です。 収集された情報に基づいて、管理者はシステムをいつ更新できるか、およびサーバーで使用できるソフトウェアパッケージを決定できます。

Yumパッケージマネージャはapt getやRed Hatディストリビューションに推奨されています。効率的なインストールとソフトウェアパッケージの更新および関連する依存関係を保証するからです。 ソフトウェアパッケージの効果的な削除も強化されます。 パッケージマネージャは、パッケージのデジタル署名を繰り返しチェックし、そのようなパッケージに無効な署名がある場合はインストールを避けます。 管理者は、ベンダーから提案された標準のソフトウェアリポジトリを使用する必要があります。 ソフトウェアパッケージは複数のリポジトリから取得することもできますが、これには追加の予防策が必要です。 管理者がパッケージの新しいバージョンを更新する前にそれらを確認して、安定性やセキュリティ上の問題を評価することが賢明です。 インストールは公式リポジトリに存在しないソフトウェアに対してのみ行われるべきです。 これらのパッケージはリポジトリから数えて入手することもできますが、細心の注意を払ってください。 テスト用の非公式ソフトウェアパッケージは、本番用のLinuxサーバーにはインストールしないでください(Ko、2011)。

過去のバージョンと同様にインストールされているパッケージのリストを記録するのがベストプラクティスであると信じられています。 これは、管理者が最新の安定したバージョンにアクセスできるためです。 新しいパッケージがサーバーの安定性を脅かす場合、管理者は以前にインストールされたバージョンを入手してそれらを再インストールすることができます。 管理者はソフトウェアパッケージの自動更新を行うようにシステムを設定できますが、これは通常推奨されません。 ベストプラクティスは、パッケージの更新ごとに相互検証を行うことです。

管理者は、パッケージマネージャをまとめて電子メールの断続的な通知を送信し、そこでサーバーが更新される可能性のあるすべてのパッケージをリストすることもできます。 これらのパッケージを確認したら、管理者は各パッケージを個別に更新することを決定する必要があります。 Yumパッケージマネージャを介したEメールの中断された送信は設定ファイル(Kruegel、2003)で設定される傾向があります。 設定したファイルに変更を加えたら、Yum updatedサービスを再開することが重要です。 Debianディストリビューションを採用している管理者は、パッケージのアップデートやEメール通知の定期的なチェックを保証するために、ソフトウェアのapticronパッケージのインストールと採用で称賛されています。 apticronパッケージソフトウェアの設定ファイルでは、通知が送信されるEメールアドレスを入力するのが賢明です。 管理者がサーバーに必要なパッケージを定義するのに十分な経験を持っている場合、そのようなネットワークでローカルリポジトリを考え出すことは洗練されたやり方であると考えられます。 既知および安定パッケージバージョンのリポジトリは、他のネットワークサーバーがパッケージを取得できる1つのLinuxサーバーに生成できます。 このようなソリューションは、ローカルリポジトリに保存する前にすべてのパッケージの詳細なチェックを要求します。

Linuxサーバーは、1つのインスタンスで複数のサービスを提供することでマルチタスク化する傾向があります。 これにより、サーバーの経済性と最適効率が向上します。 ただし、システム管理者はセキュリティの黄金律を遵守し続ける必要があります。 これはシステムがその中の非常に由緒あるサービスと同じくらい安全であることを保証します。 各Linuxサーバーが最終ユーザーに1つのサービスしか提供しない場合、完璧な解決策が得られます(Lane、2010)。

セキュリティを強化するために採用できるツールは多数あります。 彼らは悪意のある試みや、Linuxサーバを調停する可能性のあるサービスへの不正アクセスを阻止します。 Linuxには、SELinuxやNetfilterなどの固有のセキュリティツールがいくつかあります。 Netfilterは通常、ネットワークのパケットを傍受して処理する機能です。 これは、2.4以上のバージョンのカーネルを搭載しているすべてのLinuxシステムで見つけることができます。

未知のLinux / IOS攻撃を検出するための新しいメカニズム

Webベースの脆弱性は、コンピュータネットワークのセキュリティ上の危険性のかなりの部分を占めます。 Webの悪用された検出システムで発見された既知の攻撃の検出を保証するために多くのシグネチャを備えている傾向があります。 ただし、Webに関連する脆弱性を日々開示することに先んじるのは容易ではありません。 それ以外にも、インストール指定のWebベースのアプリケーションを介して脆弱性が導入される可能性があります。 これは、誤用検出システムが異常検出アプリケーションによって支援されるべきであることを意味します(Lee、2000)。

本論文は、未知のLinux / IOS攻撃の検出において明確な異常検出法を採用する侵入検知システムを提案した。 このシステムは、多数のサーバープログラムへの参照を持つさまざまなクライアントクエリを評価する傾向があり、これらの質問に対する広範囲の異なる機能のモデルを生成します。 これらの機能の中には、呼び出し側プログラムがパターンを評価するだけでなく、その呼び出し内の各パラメーターの値を評価する機能もあります。 特に、呼び出されたパラメータの特定の属性をアプリケーションに使用すると、システムに浸透して集中評価を行い、最小数の誤検出を生成します。

このシステムは、Webアプリケーションにリンクされているパラメータプロファイル、たとえばそれらの長さ、構造、クエリ間の関連付けなどを自動的に導出する傾向があります。 これは、時間のかかる調整や構成を必要とせずに、適用可能なさまざまな環境に展開できることを意味します。 このホワイトペーパーで提示されている異常検出アプリケーションは、すべてのWeb要求に対して本質的に異常であるスコアを生成するCommon Log Format(CLF)に準拠した入力WebサーバーWebファイルの形式で対応する傾向があります(Liberty、2002)。

より簡潔に言うと、このツールで採用されている評価方法は、パラメータを持つ特定のHTTP構造クエリを利用しています。 そのような問い合わせアクセスパターンならびにそれらのパラメータは、プログラムまたは参照することができる本質的に活動的な任意のプログラムに特有の設定されたプロファイルと比較される傾向がある。 この戦略は、呼び出される特定のプログラムを考慮に入れていない一般的な異常の検出方法に関しては、非常に集中的な評価を強化する傾向があります。

異常検出は、アプリケーションだけでなくユーザーの意図する動作のモデルにも依存し、通常の動作からの逸脱を悪意のある活動の証拠として解釈する傾向があります。 仮定は、攻撃のパターンは通常の振る舞いとは異なる傾向があるということです。 異常検出は、差異が定量的にも定性的にも表現され得ると仮定している。 提案されている検出方法は、通常のWebサーバーによって記録されているのと同じ方法でHTTP要求を評価します。 評価は、アクティブドキュメントに値を渡すパラメータを使用する要求に集中します。 さらに検出プロセスの入力は、U = {u1、u2、...、U}の順序で並べられたURIのセットで構成されます。 。 。 、um}であり、有効なGET要求から抽出された。 それらの戻り値は、200以上である傾向がありますが、300より小さくなければなりません(Liljenstam、2003)。

URI uiは、目的のリソースパスの要素、パス情報の代替コンポーネント(pinfoi)、およびクエリ(q)の代替文字列で表されます。 クエリ文字列は、参照されているリソースにパラメータを渡すときに使用され、先頭の「?」文字で示されます。 クエリ文字列は、n対の属性とその類似値の順序付きリストで構成されています。 この場合、q =(aXNUMX、vXNUMX)、(aXNUMX、vXNUMX),. (an、vn)ここで、ai 1 Aは属性のセット、viは文字列です。

評価手順は、値、プログラムおよびパラメータ間の関係に集中しています。 問い合わせ文字列を欠いているURIは無関係であると考えられ、したがってUから削除されます。URIとは別に、Uの部分集合へのUの区分があります。 その結果、全ての参照プログラムrは対応する質問Urに割り当てられる。 異常検出のプロセスでは、異常エントリを指摘するために一連のさまざまなモデルの中からいくつかの異なるモデルを使用します。 モデルは、特定のクエリ機能を評価するために使用される一連のメカニズムであると言えます。 この機能は単一のクエリ文字(Lindqvist、2001)に関連付けることができます。

lおよびrXNUMXパラメータを有する長さの近似された質問特徴分布に照らして、長さがlであるパラメータ異常を評価することは検出段階次第である。 これは、長さ分布の平均値から長さlの距離を計算することによって行われます。 これはチェビシェフ不等式を使って表すことができます。 長さがuを超える文字列のみが悪意があると認識されます。 文字列の上限は平均値と比較して長く、したがって関連性があるため、これは確率計算に反映されます。 不正使用と異常に基づく侵入検知戦略の分類は、悪意のある攻撃または通常の攻撃を特定するために採用されている特定の方法に関しては直交する傾向があります。 いくつかのケースでは、シグネチャはユーザの予測された行動の仕様に採用されています(Mahoney、2)

結論

未知のLinux / IOS攻撃は、シグネチャの正確さとエクスポージャーを考慮した侵入の柔軟性の検出システムで構成されるツールとテクニックを使用して対処する必要があります。 この論文は未知のLinux / IOS攻撃の異常検出を実行する新しい戦略を提案しました。 入力として、パラメータで構成されているHTTPクエリを使用します。 これは、Unknown Linux / IOS Attacksを検出するように修正された先駆的な検出異常システムです。 これは、Linuxサーバープログラムとその呼び出しで使用されるパラメーターとの間のアプリケーション指定の相関関係を利用しています。 理想的には、このアプリケーションは特定の設定をインストールする必要はありません。 また、データのトレーニングからそのクエリ属性を学習します。 ただし、異常なデータに対する感度の程度は、さまざまなサイトポリシーに適したしきい値を使用して設定できます。

リファレンス

Almgren、MH Debar、M。Dacier、(2000)、 Webサーバーの攻撃を検出するための軽量ツール。次の場所にあります。ネットワークと分散システムのセキュリティに関するISOCシンポジウムの議事録 カリフォルニア州サンディエゴ。

Denning DE、(2012)、侵入検知モデル、ソフトウェアエンジニアリングに関するIEEEトランザクション13(2)222 - 232。

Feng、HJ Giffin、Y. Huang、S。Jha、W. Lee、B。Miller、(2004)。 以下の分野における侵入検知のための静的解析における感度の定式化:セキュリティとプライバシーに関するIEEEシンポジウム講演論文集、オークランド、カリフォルニア州。

フォレスト、S。(2010)、 UNIXプロセスに対する自己意識、 『セキュリティとプライバシーに関するIEEEシンポジウム』(オークランド) CA、pp。120-128。

Ghosh、AKJ Wanken、F。Charron、(2007)、 以下の分野で、プログラムに対する異常で未知の侵入を検出します。スコッツデールでの年次コンピュータセキュリティアプリケーションカンファレンス(ACSAC_98)の議事録、 、pp.XNUMX − XNUMX。

Ilgun、RA Kemmerer、PAポラス、K.(2011) 状態遷移分析:ルールベースの侵入検知システム ソフトウェア工学に関するIEEEトランザクション21(3)181 – 199。

Javitz、A。Valdes HS、(2010)、 SRI IDESの統計的異常検出器は、次の場所にあります。セキュリティとプライバシーに関するIEEEシンポジウムの議事録、 カリフォルニア州オークランド。

クラインD.、(2005)、 wilysurferに対する防御:Webベースの攻撃と防御、「侵入検知とネットワーク監視に関するUSENIXワークショップの議事録」 カリフォルニア州サンタクララ。

Ko、CM Ruschitzka、K. Levitt、(2011)、 分散システムにおけるセキュリティ上重要なプログラムの実行監視:仕様に基づいたアプローチ、「セキュリティとプライバシーに関するIEEEシンポジウム」 カリフォルニア州オークランド、pp.XNUMX − XNUMX。

Kruegel、CD Mutz、WK Robertson、F. Valeur、(2003)、 侵入検知のためのベイジアンイベント分類 ネバダ州ラスベガスの年次コンピュータセキュリティアプリケーション会議(ACSAC 2003)の議事録。

Lane、TCE Brodley、(2010)、 異常検出のための時系列学習およびデータ整理、「コンピュータおよび通信セキュリティに関するACM会議の議事録」 カリフォルニア州サンフランシスコ、ACM Press、ニューヨーク、pp。150〜158。

Lee、WS Stolfo、(2000)、 侵入検知システム、情報とシステムセキュリティに関するACMトランザクションの機能とモデルを構築するためのフレームワーク 3(4)227-261。

Liberty、DJ Hurwitz、(2002)、 ASP.NETプログラミングO_Reilly、Sebastopol、CA。

Liljenstam、MD Nicol、V. Berk、R. Grey、(2003)、 ワーム警告システムの設計とテストのための現実的なネットワークワームトラフィックのシミュレーション:Rapid Malcodeに関するACMワークショップの議事録、ワシントンDC、pp。24-33。

Lindqvist、M。Almgren、U。(2001)、 セキュリティ監視のためのアプリケーション統合データ収集。最近の侵入検知の進歩(RAID)、Davis、CA、10月XNUMX、LNCS、Springer、、pp.XNUMX − XNUMX。

Mahoney、P。Chan、M。(2002)、 新しい攻撃を検出するための通常のネットワークトラフィックの非定常モデルの学習:知識発見とデータマイニングに関する第8回目の国際会議の議事録、エドモントン、アルバータ、カナダ、pp.XNUMX − XNUMX。

Paxson、V.(2008)、Bro: ネットワーク侵入者をリアルタイムで検出するためのシステム(7th USENIXセキュリティシンポジウム)、テキサス州サンアントニオ。

添付ファイル:
フィレット説明ファイルサイズ
このファイルをダウンロードする(a_new_mechanism_to_detect_unknown_linux_IOS_attacks.pdf)未知のLinux / IOS攻撃を検出するための新しいメカニズム未知のLinux / IOS攻撃を検出するための新しいメカニズム476キロバイト

より多くのサンプル執筆

スペシャルオファー!
用途 クーポン: UREKA15 15.0%をオフにします。

すべての新規注文

書き込み、書き換え、編集

今すぐ注文する