enarzh-CNfrdeiwjanofaptruessv
En ny mekanisme for å oppdage ukjente Linux / IOS-anfall
1 1 1 1 1 1 1 1 1 1 Rating 5.00 (2 Votes)

Introduksjon

Genererer nyttelaster ved hjelp av MetaSploit og MSF Venom

MSF Venom er et kommandolinjeverktøy som hjelper testteamet til å generere frittstående nyttelaster for å utføre på sårbare maskiner og systemer for å få tilgang til systemene eksternt. MSF Venom er en kombinasjon av MSF Payload og MSF kode som støtter ulike alternativer i testing system sårbarheter. Noen av disse alternativene benyttet av MSF Venom inkluderer bruk av nyttelast som beskriver hvordan du bruker tilpasset nyttelast for testene, listen over de ulike nyttelasterens standardalternativer, skissere modultypen som kan inkludere nyttelast, kodere, bestemme lengdestørrelsen på nyttelast, utgang format, oppgi tilgjengelige formater (Almgren, 2000).

MSF Venom krever også penetrasjonstestere for å bestemme hvilken type encoder som skal brukes, systemarkitekturen, plattformen hvor nyttelastet vil fungere, maksimal størrelse på den resulterende nyttelasten, maksimal størrelse på den kodede nyttelasten, liste over tegn som skal unngås under Tester, antall ganger for å kode inn nyttelast, spesifiser en egendefinert kjørbar fil som skal brukes som mal og bevaring av maladferd og innsprøytning av nyttelast. Nedenfor er et øyeblikksbilde av MSF Venom forskjellige alternativer tilgjengelig for penetrasjonstestfasen.

Dette er et språk som brukes til å forklare metaspoilt-programmet. Det kan bruke hvilket språk som helst som standard språk.

Hypotes: Hvordan falske positive og falske negative begreper kan brukes til å bestemme følsomhetsanalyse i systemer.

Det er viktig å beskytte og beskytte systemet mot enhver cyberbasert trussel når du utvikler og driver datasystemer og applikasjoner. En følsomhetsanalyse er en kompleks studie av usikkerheter i produksjonen av et datasystem eller applikasjon. Sensitivitetsanalyse innebærer å teste ulike forutsetninger og tester for å bestemme usikkerhetsnivået og virkningen av en variabel på systemutgangen (Denning, 2012).

Denne studien er viktig for å bestemme robustheten i systemet ved å teste usikkerheter, øke forståelsen av applikasjonen eller systemet for å identifisere sårbarheter og styrker i systemet eller applikasjonen. Sensitivitetsanalyse vil også hjelpe system- og applikasjonsutviklingsgruppen til å identifisere usikkerheter og sårbarheter, og dermed hjelpe utviklingslaget å redusere disse usikkerhetene, feilene og svakhetene. Det hjelper også med å identifisere deler av modellinngangen som ikke påvirker utgangen, og dermed bidra til å forenkle systemmodellen (Feng, 2004).

Studien vil også bidra til å styrke kommunikasjonen mellom utviklingslaget og beslutningstakere for å utveksle ideer og gi anbefalinger for å forbedre systemet før det blir utgitt for offentligheten. Studien identifiserer også inngangsfaktorer og påvirkning på systemutgang for å bestemme de optimale målingene og sensitive parametrene i systemet som kan påvirke det endelige systemet (Forrest, 2010).

Formålet med dette forskningsoppgaven er å teste et system for usikkerheter og feil for å redusere sårbarheter som kan utsette systemet for å bryte seg gjennom nettbaserte trusler. Noen av angrepene som skal testes inkluderer ukjente og kjente angrep. Kjente trusler og angrep er i utgangspunktet angrep godt identifisert av signaturer på antivirus- og inntrengingsdeteksjonssystemmotorer og domeneprøven svartelister. Ukjente angrep på den annen side er nye uten registrert angrepssignatur og utgjør dermed en mer alvorlig trussel siden operasjonsmodusen er ukjent (Ghosh, 2007).

I lys av dette vil papiret undersøke hvordan man bruker de falske positive og falske negative konseptene for å teste for følsomhetsanalyse. En falsk positiv også kalt en falsk alarm er et testresultat som indikerer at en gitt tilstand er oppfylt. Dette er en type I-feil som kontrollerer en enkelt tilstand, f.eks. Forekomst av kodefeil i systemet, med resultatene enten sant eller falskt. Den falske negative er derimot en test som indikerer at resultatene i tilstanden som testes mislyktes, men det faktiske resultatet er vellykket. Dette er en type II-feil der en enkelt tilstand testes, med resultatet enten positivt eller negativt (Ilgun, 2011).

En av applikasjonene som skal brukes i dette papiret er MSF Venom-applikasjonen og Metasploit-verktøyene for å gjennomføre penetrasjonstester på målsystemet eller applikasjonen. MSF Venom er et kommandolinjeverktøy som hjelper systemutviklerne til å generere frittstående nyttelast på sårbare systemer for å få tilgang til systemet eksternt. Metasploit derimot er et testverktøy som gjør det mulig for applikasjonspenetrasjonstestere å omgå antivirusløsninger som gjør det mulig for testteamet å generere nyttelast, teste nettverkssegmentering og øke ytelsen og produktiviteten til systemet ved å rapportere systemfunksjoner og muliggjøre automatiske oppdateringer. Dette papiret vil undersøke penetrasjonstester som skal gjennomføres for å teste for sårbarheter i systemene, identifisere typer feil og angrep og anbefale måter å forbedre produktiviteten til systemet og optimalisere produktiviteten (Javitz, 2010).

Kjente og ukjente anfall

Kjente cyberangrep er ondsinnede angrep på datasystemer og applikasjoner som allerede er kjent for penetrasjonstesterne og hvis signatur allerede er identifisert. Kjente angrep begynner som ukjent og blir kun kjent når de har blitt identifisert som ondsinnet gjennom automatisk eller manuelt i leverandørlaboratorier og en signatur tildelt dem. De fleste av dagens dynamiske analyseløsninger bruker sofistikerte beregninger for å oppdage om en generert nyttelast er skadelig med prediktive algoritmer som brukes til å karakterisere nyttelastaktiviteten (Klein, 2005).

Det ukjente angrepet er bare et nytt angrep uten en signatur. Forskjellen mellom et kjent og ukjent angrep er en tidsforskjell, siden det ukendte blir kjent med tiden. Angrepsfilen vil bare bli anerkjent av søkemotorer som skadelig og dermed skape behovet for å identifisere en nyttelast som er ukjent for søkemotoren. Dette vil innebære kjøp av tilgjengelige søkemotorer og kjøring av ondsinnede filer til en hacker finner et middel for å kringgå søkemotorene og gjøre den ondsinnede filen uoppdagelig (Ko, 2011).

Utformingen av sikre systemer som tåler cyberangrep er ikke bare vanskelig, men svært komplisert. Tidligere designere pleide å konstruere låser som er svært sterke ved å plassere sterke sikkerhetsmekanismer rundt sine systemer. I de siste tidene har designere endret seg og er nå konstruert systemer som fortsatt er i drift til tross for fortsatte angrep gjennom bruk av teknikker som er godt utviklet gjennom feiltoleranse samt pålitelighet (Kruegel, 2003).

Meta-sploit

Utnyttelsesbegrepet brytes vanligvis inn i flere elementer. Det blir først knyttet til sårbarhet. Ved å bli tilkoblet får den sårbare koden nyttelastdataene. Sårbarheten utnyttes da av nyttelastet, og et skallkomponent er opprettet. Avhengig av typen transportert nyttelast kan komponenten av skallet kobles til håndteringen som vanligvis genereres før levering av nyttelast. Ved etablering av forbindelsen kan skallet motta kommandoer for å trekke ut informasjon fra den målrettede maskinen. Det kan også gjøre en utvidelse av funksjonaliteten ved levering av koden (Lane, 2010). Ved å tilby fleksibiliteten i leveransen av ulike slags nyttelaster, har brukselementene en tendens til å benytte det generiske grensesnittet som tilbys av nyttelastelementet. De ulike henrettelsene til nyttelastgrensesnittet tilbyr valgfrie skalbelastninger som sannsynligvis vil bli distribuert til sikkerhetsproblemet. Oppdagelsen av sårbarheter og utviklingen av utnyttelser er en utfordrende oppgave som krever ulike tankegang, samt motivasjon. Så mye som fizzing-verktøy er tilstede i Metaspolit-rammene i oppdagelsen av sårbarheter, er det mye tid der Metaspolit vil bli ansatt for å utnytte kjente sårbarheter som er hovedfunksjonen (Lee, 2000).

Det er ikke et must for sårbarheter å være til stede i nettverket og gitt at nettverk har blitt veldig sikre administratorer, og til og med brukere som ikke er opplært er vanligvis det målrettede sårbare elementet. Ved identifisering av sårbare brukere kan leveransen av utnyttelser gjøres gjennom phishing-angrep eller personlig ved å bruke en rekruttert innsideforfatter. Alle metamodelelementer oppfattes som fasader. For eksempel tilkoblingselementene for Metasploit et generisk rammeverk har API-anrop tilbys for å gjøre forbindelser med nesten alle renown-tjenester på OS (Liberty, 2002).

Lastbelastningselementer tilbyr utnyttelsesrammen med koder som kan implementeres på suksess av en utnyttelse. Håndterer fungerer imidlertid ikke som nyttelast, men av hensyn til gjennomføring er de en del av nyttelasthierarkiet av klassen. For å finne en bred detaljert kontroll over målrettede nettverk er det et behov for å benytte nyttelaster som er i stand til å gyte serveren slags elementer på målrettede maskiner. I tillegg må deres evne til å bli utvidet når dette er nødvendig (Liljenstam, 2003).

For å oppnå denne typen funksjonalitet er det behov for å inkludere protokoll samt angriper side kommandoen samt ledelseselementer. Et antall av disse elementene kan observeres i Metasploit-rammen. UI-fasadeelementene gir grensesnitt som gjennomsyrer angriperen for å håndtere hvordan en rekke nyttelast og håndteringsverktøy kan festes til utnyttelseselementene før lanseringen. Disse fasadeelementene inkluderer ledere, kontrollører, proxyer, visninger, kommandoprosessorer og kommandoer. Data-lagerelementer har grensesnitt som gjennomsyrer angriperen for å lagre angrepets konfigurasjonsdetaljer (Lindqvist, 2001).

Type I, og type II-feil

Typen 1-feil er også referert til som den falske positive, dette er slik fordi det har en tendens til å avvise nullhypotesen selv når det er sant. Den aksepterer i hovedsak en valgfri hypotese når utfallet blir utsatt for sjanse. Det har en tendens til å skje når man observerer ulikheter der det ikke finnes noen. Type ll-feilen refereres også til som den falske positive. Dette er fordi det pleier å avvise nullhypotesen når den valgfrie hypotesen anses som naturens sanne tilstand. Det er en feil der man ikke aksepterer en valgfri hypotese på grunn av å være utilstrekkelig ved makten. Det skjer når enkeltpersoner ikke klarer å observere ulikheter selv om det kan være en (Mahoney, 2002).

Test av hypotesen er testprosessen hvis ulikheter i to samplede fordelinger kan forklares ved tilfeldig tilfeldighet eller ikke. Hvis det kan konkluderes at det er en meningsfylt måte hvor to fordelinger varierer, må det være tilstrekkelig forholdsregel å oppleve at ulikhetene ikke er tilfeldige tilfeller. Type I-feil tillater ikke uberettiget hypotese, og det er derfor enkeltpersoner som tar forholdsregler for å redusere forekomstskansene. Konvensjonelt forsøk på å sette type I-feil som 0.05 eller 0.01, der det bare er en eller fem sjanser ut av 100 for forekomst av fenomener med hensyn til graden av betydning. Det er imidlertid ikke garantert at 0.05 eller 0.01 er tilstrekkelig sjeldne. Det er derfor et behov for å forsiktig velge betydelige nivåer. Flere test som er den sannsynlige økningen i Type I-feil skjer når det gjentas bruk av statistiske feil (Paxson, 2008).

Ny mekanisme som oppdager ukjente angrep for å gjøre dem kjent

Det er ikke mulig å konstruere et innbruddstoleransesystem som kan overleve i en meningsfylt mengde tid uten å håndtere ukjente angrepsspørsmål, samt begrensede failoverressurser. Det er forsiktig å herdes ens system for å sette pris på arbeidsfaktoren til motstanderen. Imidlertid kan tiden som er nødvendig for å identifisere nye sårbarheter i et hvilket som helst system, samt utviklingen av dets utnyttelse, være stor (Almgren, 2000).

Til en motstander som er fast bestemt, kan dette være både tid og penger. Ved utvikling av et angrep krever det begrenset tid til å bli utført. I de fleste tilfeller er det begrenset tid for opprettelsen av enkle angrepsvarianter. I tilfelle trusselmiljøet til et innbruddstolerant system medfører motstandere som er godt ressurs, bør systemet kunne håndtere mange angrep som ikke er kjent (Denning, 2012). Linux-servere

Linux har blitt et populært valg for operativsystemer i servermiljøet. Granulariteten samt smidighet av innstillinger, sikkerhet, høy ytelse og pålitelighet er dens fordeler sammenlignet med andre systemer. Med tanke på infrastrukturelle begrensninger, er mange tjenester vert for en server og dermed utfordringen om hvordan Linux-serveren kunne beskyttes. Linux-serverbeskyttelsespraksis kan ikke være en engang prøvelse, men det er en permanent mekanisme som varer så lenge serveren blir brukt. Målet er å øke sikkerheten og raskt oppdage utfordringer (Feng, 2004).

Ved installering av Linux-serveren er det avgjørende at unødvendige tjenester er deaktivert. Unødvendige pakker bør også fjernes. Den største trusselen mot Linux-pakker stammer fra usikre programvarepakker som brukes i utførelsen av en rekke kommandoer som kommer fra eksterne steder. De inkluderer R-kommandoer som; rsh, rexec og rlogin. Disse programvarepakker har en tendens til å overføre kommandoer, brukernavn og passord gjennom nettverk i fravær av tidligere opptak. Ved å avlyse trafikken kan angriperen se informasjonen som kan stoppe en kritisk sikkerhetsutfordring. Det er således påkrevd at disse pakkene slettes fra Linux-serveren og bruk protokoller som bruker kryptert kommunikasjon for eksempel SSH.

Administratoren til serveren bør ta forsiktige hensyn til om det er kritisk for en rekke protokoller, for eksempel filoverføringsprotokollen og Telnet, som innehar klienten, samt serverstøtten. Det er viktig at filer fra isolerte FTP-servere lastes ned. Kjøringen av en FTP-server som ikke blir brukt, er en kritisk trussel mot Linux-servere (Forrest, 2010).

Administratoren av Linux-servere må sette opp Linux-operativsystem som tilbyr sikret overføring av filer for å forbedre oppdateringen av pakken, samt anvendelse av relevante oppdateringer. Alle data som går gjennom disse nettverkene, må krypteres av administratoren der det er mulig. Systemadministratorene har brukt SSH samt Telnet-protokollene i deres eksterne tilgang til Linux-serveren.

Imidlertid er Telnet nå absolutt fordi det aldri krypterer data som den utveksler med servere, og dette inkluderer brukerens legitimasjon. Enhver person i dette nettverket mellom datamaskinadministratoren og den kommuniserende serveren er i stand til å fange opp pakker og ha brukeridentifikasjoner og får dermed full kontroll over serveren. SSH-protokollen er derfor foretrukket over Telnet-protokollen av disse grunner.

SSH-protokollen gir kommunikasjonsbeskyttelse i serveren ved å levere asymmetrisk grunnleggende kryptografi. Kommunikasjonen mellom SSH-servere og klienter har en tendens til å være kryptert og uforklarlig til tredjeparter som kunne fange utvekslede pakker. Autentiseringen av SSH-serveren kan oppnås gjennom kryptert overføring av brukeridentifikasjoner. Dette kan også unngås ved å bruke manuelt opprettede asymmetriske nøkler der det ikke er nødvendig å benytte passord (Ghosh, 2007).

Hvis autentiseringen er utført av nøkler som genereres manuelt uten overføring av passord, bør autentiseringsnøkkelen være jeg enheten som kan få tilgang til Linux-serveren. Ansettelsen av brukeridentifikasjoner er avgjørende for administratorer å logge på serveren der forskjellige datamaskiner er ansatt for isolert logg inn på serveren. For kommunikasjon og koordinert autentisering mellom to Linux-servere er det kritisk at manuelt opprettede asymmetriske nøkler er ansatt. Dette er fordi det er permanente parter i denne kommunikasjonen og dermed unngår kravet om å skrive passord på filene.

Sikre kanaler for kommunikasjon

Hvis det er behov for overføring av filer mellom Linux-servere og eksterne maskiner, skal det gjøres via sikre kommunikasjons kanaler. FTP-protokollen er veldig populær for filoverføringer. Men det står overfor liknende sikkerhetsrisiko akkurat som Telnet-protokollet. Sikre alternativer som SCP, FTPS eller SFTP anbefales derfor. Secure File Transfer Protocol (SFTP) har en tendens til å etablere sikker og kryptert kommunikasjon ved hjelp av fjernbetjeninger for å forbedre tilgangen til, overføring og styring av filer. Denne protokollen benytter også en SSH-tunnel i manipulering av filer i isolerte servere (Ilgun, 2011).

Sikkerhetsoverføringsprotokollen (FTPS) stammer fra FTP grunnlagt på Transport Layer Security (TLS), samt Secure Sockets Layer (SSL) som forbedrer sikker dataoverføring. FTPS er veldig mye det samme som Hypertext Transfer Protocol Secure (HTTPS) protokollen og krever et digitalt sertifikat på servere. Gitt at andre parter i kommunikasjonen burde stole på det monterte serverens digitale sertifikat, kan dette innse utfordringer i gjennomføringen av hele løsningen. Hvis overføringsfunksjonen er ansatt for systemets behov, så vel som med hensyn til serveradministrasjon, kreves det at SFTP-protokollen er ansatt, gitt at det gir mange filstyringsalternativer (Javitz, 2010).

I tilfelle filer overføres fra Linux-serveren som en tjeneste for sluttbrukerne, anbefales det å bruke FTPS-protokollen, siden det forbedrer godkjenningen av serveren ved bruk av digitale sertifikater. FTPS har en tendens til å benytte UDP- eller TCP 990- og 989-porter for å etablere forbindelser og overføre filer. Det er derfor kritisk at disse porterne forblir åpne på Linux-servere. Den sikre kopiprotokollen (SCP) som bruker SSH-protokollen garanterer kryptering, samt godkjenning av data som er kryptert. Denne prosessen er den samme som den som brukes av SFTP-protokollen. Men dette innebærer flere muligheter enn bare å overføre filer. SCP benytter porten 22 TCP for å sikre sikker overføring av filer.

Linux-serveren må ha ekstra plass til å lagre data samlet under operasjoner. Administratorer har en tendens til å ansette isolerte systemer av filer i utvidelsen av deres serverkapasiteter. Linux-servere er vanligvis koblet til eksterne servere for å lagre data og bruke en del av filsystemet. Eksterne filsystemer er tilgjengelige via nettverk, og systemadministratorer har lignende opplevelser som om de eksterne filsystemene er kryptert på Linux-serveren. Overføringen av data mellom servere og isolerte filsystemer skal være tilstrekkelig sikret for ikke å kompromittere de overførte dataene. Det anbefales at systemadministratorer bruker Secure Shell File System (SSHFS) som forbedrer ansettelsen av isolerte filsystemer på Linux-servere. SSHFS benytter SSH-koblingen for sikker overføring av data i nettverk. I utgangspunktet bruker SSHFS SFTP-protokollen som forbedrer filbehandling, sikker tilgang samt dataoverføring på isolerte filsystemer (Klein, 2005).

Linux sever kan bare beskyttes effektivt gjennom at administratoren er godt informert. Dette kan gjøres ved at han har en konsistent flyt av pålitelig informasjon om sikkerhetstrender som angår relevant Linux-distribusjon, samt installerte programvarepakker. Mange sårbarheter har blitt funnet over tid i Linux-programvarepakker, og de kunne bli ansatt av angripere ved å ødelegge servere. Gitte e-postlister som takler sikkerhetsutfordringer i Linux-distribusjonsadministratorer, er i stand til å handle raskt gjennom rettidig oppdatering av systemet, samt eliminering av sårbarheter. Det er derfor kritisk å ansette sikre adresselister i Linux-distribusjoner. Grunnlagt på innsamlet informasjon kan administratorer bestemme når systemet kan oppdateres, samt programvarepakker som kan brukes på serverne.

Yum pakkebehandleren har blitt anbefalt for apt får eller Red Hat distribusjoner for det garanterer effektiv installasjon samt oppdatering av programvarepakker og relevante avhengigheter. Det forbedrer også effektiv sletting av programvarepakker. Pakkeforvaltere pleier å gjentatte ganger sjekke pakkens digitale signatur og unngå installasjon hvis slike pakker har ugyldige signaturer. Administratorer må benytte standard programvarebeholdninger som har blitt foreslått av leverandører. Programvarepakker kan også hentes fra flere lagre, men dette krever ekstra forholdsregler. Det er forsiktig for administratorer å verifisere de nye versjonene av pakker før de oppdateres for å vurdere stabiliteten i tillegg til eventuelle sannsynlige sikkerhetsutfordringer. Installasjoner bør bare skje med programvare som ikke finnes i offisielle arkiver. Disse pakkene kan også fås fra et nummer dersom det er repositorier, men med ekstra forsiktighet. Uoffisielle programvarepakker i et test-ansikt bør ikke installeres på Linux-servere (Ko, 2011).

Opptak av en liste over pakker som er installert, samt tidligere versjoner, antas å være den beste praksisen. Dette skyldes at administratoren vil kunne få tilgang til de nyeste, stabile versjonene. Hvis nye pakker er en trussel mot serverens stabilitet, kan administratoren få de tidligere versjonene installert og installere dem på nytt. Administratorer kan sette systemet til å foreta en automatisk oppdatering av programvarepakker, selv om dette vanligvis ikke anbefales. Den beste fremgangsmåten er å foreta en gjensidig verifisering av hver oppdatering av pakker.

Administratoren kan også sette sammen pakkelederne for å sende periodiske varsler av e-postmeldinger der han kan liste alle pakkene som kan oppdateres av serveren. Etter en gjennomgang av disse pakkene er det på administratoren å ta en beslutning om den separate oppdateringen av hver pakke. Avbrudd av sending av e-post via Yum pakkebehandling kan være konfigurert i konfigurasjonsfilen (Kruegel, 2003). Det er viktig å gjenoppta Yum oppdatert tjenesten ved å gjøre endringer i den konfigurerte filen. Administratorer som benytter Debian-distribusjoner, gleder seg over installasjonen og ansettelsen av aptikronpakken med programvare for å garantere rutinemessige kontroller i oppdateringen av pakker samt e-postvarsler. I konfigurasjonsfilen for aptikronpakkeprogramvaren er det forsiktig å skrive inn e-postadressen der varselet skal sendes. Hvis administratoren har tilstrekkelig erfaring med å definere pakkene som kreves på serverne, oppfattes det en raffinert praksis for å komme opp med et lokalt lager i et slikt nettverk. Lageret av kjente så vel som stabile pakkeversjoner kunne genereres på en Linux-server der andre nettverksservere kunne hente pakken. Slike løsninger krever detaljert kontroll av alle pakker før lagringen i et lokalt lager.

Linux-servere har en tendens til å multitask gjennom å tilby flere tjenester i ett tilfelle. Dette fører til at serveren blir økonomisk utnyttet så vel som optimal effektivitet. Systemadministratoren må imidlertid fortsette å observere sikkerhets gullregel. Dette sikrer at systemet er like sikkert som de svært ærverdige tjenestene i den. Den perfekte løsningen oppnås når hver Linux-server tilbyr bare en tjeneste til de endelige brukerne (Lane, 2010).

Det finnes en rekke verktøy som kan brukes til å øke sikkerheten. De bekjemper uautorisert tilgang til ondsinnede forsøk, samt tjenester som kan forene Linux-serveren. Linux har flere innebygde sikkerhetsverktøy for eksempel SELinux og Netfilter. Netfilter er en funksjon som vanligvis avskjærer samt behandler pakker med nettverk. Dette kan bli funnet i omtrent alle Linux-systemer som har 2.4 og over versjoner av kjernen.

En ny mekanisme for å oppdage ukjente Linux / IOS-anfall

Nettbaserte sårbarheter gir betydelige deler av datanettverkets sikkerhetsrisiko. For å garantere gjenkjenning av kjente angrep som finnes i nettverket, har misbrukte deteksjonssystemer tendens til å være utstyrt med mange signaturer. Det er imidlertid ikke lett å være på forhånd med dagens avsløring av sårbarheter som er webrelaterte. Bortsett fra det kan sårbarheter bli introdusert gjennom installasjonsspesifiserte nettbaserte applikasjoner. Dette innebærer at misbruksdeteksjonssystemer skal bistås av anomaliedetektive applikasjoner (Lee, 2000).

Dette papiret foreslår et system for inntrenging av detektorer som bruker en tydelig anomalitetsdeteksjonsmetode ved påvisning av ukjente Linux / IOS-anfall. Dette systemet har en tendens til å vurdere ulike klientforespørsler som har en referanse for en rekke serverprogrammer og genererer modeller for et bredt spekter av forskjellige funksjoner for disse spørsmålene. Noen av disse funksjonene inkluderer server side programmer vurdere mønstre samt verdiene for hver parameter i sin påkallelse. Særlig ansettelsen av søknaden bestemte attributter av de påkalte parametere gjennomsyrer systemet for å utføre en konsentrert vurdering og generere et minimert antall falske positiver.

Dette systemet har en tendens til å automatisk utlede parameterv profiler som er knyttet til webapplikasjoner, for eksempel lengden i tillegg til deres struktur og sammenhengen mellom spørringer. Dette betyr at det er i stand til å bli distribuert i ulike anvendelige miljøer uten at det er nødvendig å tidkrevde stemmning eller konfigurasjon. Anomalitetsdeteksjonsprogrammet som presenteres i dette dokumentet har en tendens til å imøtekomme i form av web-webserver-webfiler som er i samsvar med Common Log Format (CLF), som genererer en score som er anomali i naturen for hver webforespørsel (Liberty, 2002).

Nærmere bestemt, vurderer evalueringsmetodene som brukes av dette verktøyet på de spesifikke HTTP-struktur-spørringene som har parametere. Slike spørsmål om tilgangsmønstre samt deres parametere pleier å sammenlignes med instituttprofiler som er spesielle for programmet eller et hvilket som helst aktivitetsprogram som kan refereres til. Denne strategien har en tendens til å forbedre en høyt konsentrert vurdering når det gjelder deteksjonsmetoder for generisk anomali som ikke tar hensyn til bestemte programmer som påberopes.

Anomaliedeteksjon avhenger av modeller av brukere som har til hensikt å utføre samt applikasjoner, og har en tendens til å tolke avvik fra vanlig oppførsel som skadelig aktivitetsbevis. Forutsetningen er at angrepsmønstre har en tendens til å skille seg fra vanlig oppførsel. Anomaliedeteksjon antar at ulikheten kan uttrykkes både kvantitativt og kvalitativt. Den foreslåtte gjenkjenningsstrategien evaluerer HTTP-forespørsler på samme måte som de logges av de fleste vanlige webservere. Vurderingen fokuserer på forespørsler som bruker parametere som overfører verdier til aktive dokumenter. I tillegg består deteksjonsprosessinngangen av et sett med URIer som er bestilt U = {u1, u2,. . . , um} og hentet fra effektive GET-forespørsler; deres returkodene har en tendens til å være mer eller lik 200, men bør være mindre enn 300 (Liljenstam, 2003).

URI ui er uttrykt i terner av elementer av den ønskede ressursbanen, en alternativ komponent av stiinformasjon (pinfoi), samt en alternativ streng av spørring (q). Spørringsstrengen er ansatt i forbipasserende parametre til refererte ressurser der det påpekes av ledende tegn? En spørringsstreng består av bestilte lister over n par attributter sammen med deres analoge verdier. I dette tilfellet q = (a1, v1), (a2, v2),. (a, vn) hvor ai 2 A, er et sett med attributter mens vi er en streng.

Vurderingsprosessen konsentrerer seg om forholdet mellom verdier, programmer og parametere. URIer som mangler spørringsstrenger anses irrelevante og dermed utgått fra U. Bortsett fra URI er det partisjonen til U i Ur-undergrupper. Følgelig blir alle refererte programmer r tilordnet tilsvarende forespørsler Ur. Prosessen med anomalitetsdeteksjon anvender flere forskjellige modeller i et sett med ulike modeller for å peke ut uregelmessige oppføringer. En modell kan sies å være et sett med mekanismer som brukes til å vurdere spesifikke søkefunksjoner. Denne funksjonen kan være knyttet til enkeltstående søketegn (Lindqvist, 2001).

I lys av den tilnærmede søkefunksjonens fordeling av lengde med l- og r2-parametere, er det opp til deteksjonsfasen for å evaluere en parameteranomali hvor lengden er l. Dette gjøres ved å beregne lengden l avstand fra deg lengdefordelingsmiddelverdien. Dette kan uttrykkes ved hjelp av Chebyshev ulikheten. Bare strenger hvis lengde overstiger deg, oppfattes som skadelig. Dette er speilet i sannsynlighetsberegningen siden strengene øvre grense er lengre i forhold til gjennomsnittet og dermed relevant. Kategoriseringen av strategier for inntrengingsdeteksjon i misbruk og anomaliebasert tendens til å være ortogonale i forhold til den spesifikke metoden som brukes til å tildele skadelige eller vanlige angrep. I noen tilfeller er signaturer ansatt i spesifikasjonen av brukerens projiserte oppførsel (Mahoney, 2002).

konklusjonen

Ukjente Linux / IOS Angrep må håndteres ved hjelp av verktøy og teknikker som består av presisjonen av signatur grunnlagt eksponering med anomalie grunnlagt inntrenging fleksibilitet deteksjon system. Dette papiret har foreslått en ny strategi for å utføre anomalitetsdeteksjon av ukjente Linux / IOS-anfall. Den brukes som input HTTP spørringer som består av parametere. Det er pionardetekteringsanomalysystemet som er modifisert for å oppdage ukjente Linux / IOS-anfall. Den kapitaliserer på applikasjonsspesifikke korrelasjoner mellom Linux-serverprogrammer og parametere som er ansatt i deres invokasjon. Ideelt sett krever denne applikasjonen ingen spesielle konfigurasjoner for installasjonen. Den lærer også sine søkeattributter fra opplæring av data. Graden av dens følsomhet med uregelmessige data kan imidlertid konfigureres gjennom terskler som kan passe ulike nettstedspolitikker.

Referanser

Almgren, MH Debar, M. Dacier, (2000), Et lett verktøy for å oppdage webserverangrep, i: Utførelser av ISOC-symposiet om nettverks- og distribuerte systemer Sikkerhet, San Diego, CA ,.

Denning DE, (2012), En inntrengingsdeteksjonsmodell, IEEE Transaksjoner på Software Engineering 13 (2) 222-232.

Feng, HJ Giffin, Y. Huang, S. Jha, W. Lee, B. Miller, (2004). Formalisering av sensitivitet for statisk analyse for inntrengingsdeteksjon, i: Forhandlinger i IEEE Symposium om Securityand Privacy, Oakland, CA ,.

Forrest, S. (2010), En følelse av selvtillit for UNIX-prosesser, i: Foredrag i IEEE-symposiet om sikkerhet og personvern, Oakland, CA, s. 120-128.

Ghosh, AKJ Wanken, F. Charron, (2007), Påvisning av uregelmessige og ukjente inntrengninger mot programmer, i: Prosedrag av den årlige datasikkerhetsapplikasjonskonferansen (ACSAC_98), Scottsdale, , pp. 259-267.

Ilgun, RA Kemmerer, PA Porras, K. (2011) Statens overgangsanalyse: et regelbasert inntrengingsdeteksjonssystem, IEEE Transaksjoner på Software Engineering 21 (3) 181-199.

Javitz, A. Valdes HS, (2010), SRI IDES statistisk anomaliedetektor, i: Forhandlinger i IEEE Symposium om Securityand Privacy, Oakland, CA ,.

Klein D., (2005), Forsvar mot wilysurfer: Webbaserte angrep og forsvar, i: Foredrag i USENIX-workshopen om inntrengingsdeteksjon og nettverksovervåking, Santa Clara, CA ,.

Ko, CM Ruschitzka, K. Levitt, (2011), Overvåking av sikkerhetskritiske programmer i distribuerte systemer: En spesifikasjonsbasert tilnærming, i: Gjennomgang av IEEE Symposium om sikkerhet og personvern, Oakland, CA, s. 175-187.

Kruegel, CD Mutz, WK Robertson, F. Valeur, (2003), Bayesian hendelse klassifisering for inntrenging gjenkjenning, i: Prosedyrene i den årlige datasikkerhetsapplikasjonskonferansen (ACSAC 2003), Las Vegas, NV ,.

Lane, TCE Brodley, (2010), Temporal sekvens læring og data reduksjon for anomalydetection, i: Utførelser av ACM konferansen om Computer og Communications Security, San Francisco, CA, ACM Press, New York, pp. 150-158.

Lee, WS Stolfo, (2000), Et rammeverk for konstruksjon av funksjoner og modeller for inntrengingsdeteksjonssystemer, ACM Transaksjoner på informasjon og system sikkerhet 3 (4) 227-261.

Liberty, DJ Hurwitz, (2002), Programmering ASP.NET, O_Reilly, Sebastopol, CA.

Liljenstam, MD Nicol, V. Berk, R. Gray, (2003), Simulering av realistisk nettverksmasketrafikk for ormvarselsystemdesign og testing, i: Prosedyrer av ACM Workshop på Rapid Malcode, Washington, DC, pp. 24-33.

Lindqvist, M. Almgren, U. (2001), Program-integrert datainnsamling for sikkerhetsmonitoring, i: Forløp av nyere fremskritt i inntrenging av deteksjon (RAID), Davis, CA, oktober 2001, LNCS, Springer,, pp. 22-36.

Mahoney, P. Chan, M. (2002), Lær ikke-stationære modeller av normal nettverkstrafikk for å oppdage nye angrep, i: Prosedyrene til 8th International Conference on Knowledge Discoveryand Data Mining, Edmonton, Alberta, Canada, s. 376-385.

Paxson, V. (2008), Bro: et system for å oppdage nettverksinntrengere i sanntid, i: Forløp i 7th USENIX Security Symposium, San Antonio, TX.

pin It
Vedlegg:
filetBeskrivelseFilstørrelse
Last ned denne filen (a_new_mechanism_to_detect_unknown_linux_IOS_attacks.pdf)En ny mekanisme for å oppdage ukjente Linux / IOS-anfallEn ny mekanisme for å oppdage ukjente Linux / IOS-anfall476 kB

Flere eksempler på skrifter

Spesialtilbud!
Bruk Kupong: UREKA15 å få 15.0% av.

Alle nye ordrer på:

Skrive, omskrive og redigere

Bestill nå