En ny mekanisme for å oppdage ukjente Linux / IOS-anfall
1 1 1 1 1 1 1 1 1 1 Rating 5.00 (2 Votes)

Introduksjon

Genererer nyttelaster ved hjelp av MetaSploit og MSF Venom

MSF Venom er et kommandolinjeverktøy som hjelper testteamet til å generere frittstående nyttelaster for å utføre på sårbare maskiner og systemer for å få tilgang til systemene eksternt. MSF Venom er en kombinasjon av MSF Payload og MSF kode som støtter ulike alternativer i testing system sårbarheter. Noen av disse alternativene benyttet av MSF Venom inkluderer bruk av nyttelast som beskriver hvordan du bruker tilpasset nyttelast for testene, listen over de ulike nyttelasterens standardalternativer, skissere modultypen som kan inkludere nyttelast, kodere, bestemme lengdestørrelsen på nyttelast, utgang format, oppgi tilgjengelige formater (Almgren, 2000).

MSF Venom krever også penetrasjonstestere for å bestemme hvilken type encoder som skal brukes, systemarkitekturen, plattformen hvor nyttelastet vil fungere, maksimal størrelse på den resulterende nyttelasten, maksimal størrelse på den kodede nyttelasten, liste over tegn som skal unngås under Tester, antall ganger for å kode inn nyttelast, spesifiser en egendefinert kjørbar fil som skal brukes som mal og bevaring av maladferd og innsprøytning av nyttelast. Nedenfor er et øyeblikksbilde av MSF Venom forskjellige alternativer tilgjengelig for penetrasjonstestfasen.

Dette er et språk som brukes til å forklare metaspoilt-programmet. Det kan bruke hvilket språk som helst som standard språk.

Hypotes: Hvordan falske positive og falske negative begreper kan brukes til å bestemme følsomhetsanalyse i systemer.

Det er viktig å beskytte og beskytte systemet mot enhver cyberbasert trussel når du utvikler og driver datasystemer og applikasjoner. En følsomhetsanalyse er en kompleks studie av usikkerheter i produksjonen av et datasystem eller applikasjon. Sensitivitetsanalyse innebærer å teste ulike forutsetninger og tester for å bestemme usikkerhetsnivået og virkningen av en variabel på systemutgangen (Denning, 2012).

Denne studien er viktig for å bestemme robustheten i systemet ved å teste usikkerheter, øke forståelsen av applikasjonen eller systemet for å identifisere sårbarheter og styrker i systemet eller applikasjonen. Sensitivitetsanalyse vil også hjelpe system- og applikasjonsutviklingsgruppen til å identifisere usikkerheter og sårbarheter, og dermed hjelpe utviklingslaget å redusere disse usikkerhetene, feilene og svakhetene. Det hjelper også med å identifisere deler av modellinngangen som ikke påvirker utgangen, og dermed bidra til å forenkle systemmodellen (Feng, 2004).

Studien vil også bidra til å styrke kommunikasjonen mellom utviklingslaget og beslutningstakere for å utveksle ideer og gi anbefalinger for å forbedre systemet før det blir utgitt for offentligheten. Studien identifiserer også inngangsfaktorer og påvirkning på systemutgang for å bestemme de optimale målingene og sensitive parametrene i systemet som kan påvirke det endelige systemet (Forrest, 2010).

Formålet med dette forskningsoppgaven er å teste et system for usikkerheter og feil for å redusere sårbarheter som kan utsette systemet for å bryte seg gjennom nettbaserte trusler. Noen av angrepene som skal testes inkluderer ukjente og kjente angrep. Kjente trusler og angrep er i utgangspunktet angrep godt identifisert av signaturer på antivirus- og inntrengingsdeteksjonssystemmotorer og domeneprøven svartelister. Ukjente angrep på den annen side er nye uten registrert angrepssignatur og utgjør dermed en mer alvorlig trussel siden operasjonsmodusen er ukjent (Ghosh, 2007).

I lys av dette vil papiret undersøke hvordan man bruker de falske positive og falske negative konseptene for å teste for følsomhetsanalyse. En falsk positiv også kalt en falsk alarm er et testresultat som indikerer at en gitt tilstand er oppfylt. Dette er en type I-feil som kontrollerer en enkelt tilstand, f.eks. Forekomst av kodefeil i systemet, med resultatene enten sant eller falskt. Den falske negative er derimot en test som indikerer at resultatene i tilstanden som testes mislyktes, men det faktiske resultatet er vellykket. Dette er en type II-feil der en enkelt tilstand testes, med resultatet enten positivt eller negativt (Ilgun, 2011).

En av applikasjonene som skal brukes i denne artikkelen er MSF Venom-applikasjonen og Metasploit-verktøy for å utføre penetrasjonstester på målsystemet eller applikasjonen. Leger Uten Grenser er et kommandolinjeverktøy som hjelper systemutviklerne med å generere frittstående nyttelast på sårbare systemer for ekstern tilgang til systemet. Metasploit er derimot et testverktøy som gjør det mulig for applikasjonsgjennomtrengningstestere å omgå antivirusløsninger som gjør at testteamet kan generere nyttelast, teste nettverkssegmentering og øke ytelsen og produktiviteten til systemet ved å rapportere systemfunksjoner og aktivere automatiske oppdateringer. Denne artikkelen vil undersøke penetrasjonstester som skal utføres for å teste for sårbarheter i systemene, identifisere typer feil og angrep og anbefale måter å forbedre produktiviteten til systemet og optimalisere produktiviteten (Javitz, 2010).

Kjente og ukjente anfall

Kjente cyberangrep er ondsinnede angrep på datasystemer og applikasjoner som allerede er kjent for penetrasjonstesterne og hvis signatur allerede er identifisert. Kjente angrep begynner som ukjent og blir kun kjent når de har blitt identifisert som ondsinnet gjennom automatisk eller manuelt i leverandørlaboratorier og en signatur tildelt dem. De fleste av dagens dynamiske analyseløsninger bruker sofistikerte beregninger for å oppdage om en generert nyttelast er skadelig med prediktive algoritmer som brukes til å karakterisere nyttelastaktiviteten (Klein, 2005).

Det ukjente angrepet er bare et nytt angrep uten en signatur. Forskjellen mellom et kjent og ukjent angrep er en tidsforskjell, siden det ukendte blir kjent med tiden. Angrepsfilen vil bare bli anerkjent av søkemotorer som skadelig og dermed skape behovet for å identifisere en nyttelast som er ukjent for søkemotoren. Dette vil innebære kjøp av tilgjengelige søkemotorer og kjøring av ondsinnede filer til en hacker finner et middel for å kringgå søkemotorene og gjøre den ondsinnede filen uoppdagelig (Ko, 2011).

Utformingen av sikre systemer som tåler cyberangrep er ikke bare vanskelig, men svært komplisert. Tidligere designere pleide å konstruere låser som er svært sterke ved å plassere sterke sikkerhetsmekanismer rundt sine systemer. I de siste tidene har designere endret seg og er nå konstruert systemer som fortsatt er i drift til tross for fortsatte angrep gjennom bruk av teknikker som er godt utviklet gjennom feiltoleranse samt pålitelighet (Kruegel, 2003).

Meta-sploit

Utnyttelsesbegrepet er vanligvis brutt opp i flere elementer. Det blir først koblet til sårbarhet. Når du blir koblet til, får den sårbare koden nyttelastdataene. Sårbarheten utnyttes deretter av nyttelasten og det opprettes en shell-type komponent. Avhengig av hva slags transportert nyttelast, kan komponenten på skallet kobles til føreren som vanligvis genereres før nyttelasten leveres. Ved etablering av forbindelsen kan skallet motta kommandoer for å trekke ut informasjon fra den målrettede maskinen. Det kan også gjøre en utvidelse av funksjonaliteten gjennom levering av koden (Lane, 2010). Ved å tilby fleksibiliteten ved levering av forskjellige typer skall nyttelaster, benytter utnyttelseselementene det generiske grensesnittet som tilbys av nyttelastelementet. De forskjellige henrettelsene av nyttelastgrensesnittet tilbyr valgfrie nyttelast med skall som sannsynligvis vil bli distribuert til sårbarheten. Oppdagelsen av sårbarheter og utvikling av utnyttelser er en utfordrende oppgave som krever både tankesett og motivasjon. Så mye som fizzing verktøy er til stede i Metaspolit rammer for å oppdage sårbarheter er det mye tid der Metaspolit vil bli brukt til å utnytte kjente sårbarheter som er dens primære funksjon (Lee, 2000).

Det er ikke et must for sårbarheter å være til stede i nettverket og gitt at nettverk har blitt veldig sikre administratorer og til og med brukere som ikke er opplært er vanligvis det målrettede sårbare elementet. Ved identifisering av sårbare brukere kan levering av utnyttelser gjøres gjennom phishing-angrep eller personlig ved hjelp av en rekruttert innsider. Alle metamodelle elementer oppfattes som fasader. For eksempel har tilkoblingselementene for Metasploit et generisk rammeverk API-samtaler som tilbys for å lage forbindelser med nesten alle anerkjente tjenester på OS (Liberty, 2002).

Lastbelastningselementer tilbyr utnyttelsesrammen med koder som kan implementeres på suksess av en utnyttelse. Håndterer fungerer imidlertid ikke som nyttelast, men av hensyn til gjennomføring er de en del av nyttelasthierarkiet av klassen. For å finne en bred detaljert kontroll over målrettede nettverk er det et behov for å benytte nyttelaster som er i stand til å gyte serveren slags elementer på målrettede maskiner. I tillegg må deres evne til å bli utvidet når dette er nødvendig (Liljenstam, 2003).

For å få denne typen funksjonalitet er det behov for å innlemme protokoll så vel som angriperens sidekommando samt styringselementer. En rekke av disse elementene kan observeres i Metasploit-rammeverket. UI-fasadeelementene tilbyr grensesnitt som gjennomsyrer angriperen for å håndtere hvordan et antall nyttelast så vel som håndterere kan festes til utnyttelseselementene før lanseringen. Disse fasadeelementene inkluderer ledere, kontrollører, fullmektiger, visninger, kommandoprosessorer og kommandoer. Datalagringselementer har grensesnitt som gjennomsyrer angriperen for å lagre angrepets konfigurasjonsdetaljer (Lindqvist, 2001).

Type I, og type II-feil

Typen 1-feil er også referert til som den falske positive, dette er slik fordi det har en tendens til å avvise nullhypotesen selv når det er sant. Den aksepterer i hovedsak en valgfri hypotese når utfallet blir utsatt for sjanse. Det har en tendens til å skje når man observerer ulikheter der det ikke finnes noen. Type ll-feilen refereres også til som den falske positive. Dette er fordi det pleier å avvise nullhypotesen når den valgfrie hypotesen anses som naturens sanne tilstand. Det er en feil der man ikke aksepterer en valgfri hypotese på grunn av å være utilstrekkelig ved makten. Det skjer når enkeltpersoner ikke klarer å observere ulikheter selv om det kan være en (Mahoney, 2002).

Testingen av hypotese er prosessen med å teste om forskjeller i to distribuerte prøver kunne forklares ved tilfeldig tilfeldighet eller ikke. Hvis konklusjoner kan treffes om at det er en meningsfull måte der to fordelinger varierer, må det være tilstrekkelig forsiktighet for å oppfatte at forskjellene ikke er tilfeldig. Type I-feil tillater ikke uberettiget hypotese. Derfor tar enkeltpersoner forsiktighet for å redusere sjansene for forekomst. Konvensjonelt blir det forsøkt å angi Type I-feil som 0.05 eller 0.01 der det bare er en eller fem sjanser ut av100 for forekomsten av fenomener med hensyn til graden av betydning. Det er imidlertid ikke garantert at 0.05 eller 0.01 er tilstrekkelig sjeldne, det er derfor et behov for å velge betydelige nivåer forsiktig. Flere tester, som er den sannsynlige økningen i Type I-feil, skjer når det er gjentatt bruk av statistiske feil (Paxson, 2008).

Ny mekanisme som oppdager ukjente angrep for å gjøre dem kjent

Det er ikke mulig å konstruere et innfallstoleransesystem som kan overleve i en meningsfull mengde tid uten å håndtere ukjente angreputfordringer så vel som begrensede failover-ressurser. Det er forsvarlig å herde ens system for å sette pris på arbeidsfaktoren til motstanderen. Imidlertid kan tiden som er nødvendig for å identifisere nye sårbarheter i ethvert system, så vel som utviklingen av dens utnyttelse, være på en eller annen måte stor (Almgren, 2000).

For en motstander som er bestemt, kan dette dreie seg om både tid og penger. Etter utvikling av et angrep krever det begrenset tid å bli henrettet. I de fleste tilfeller er det begrenset tid for å lage enkle angrepsvarianter. I tilfelle trusselmiljøet for et inntrengningstolerant system medfører motstandere som har god ressurs, bør systemet kunne håndtere mange angrep som er ukjente (Denning, 2012). Linux-servere

Linux har blitt et populært valg for operativsystemer i servermiljøet. Granulariteten samt smidighet av innstillinger, sikkerhet, høy ytelse og pålitelighet er dens fordeler sammenlignet med andre systemer. Med tanke på infrastrukturelle begrensninger, er mange tjenester vert for en server og dermed utfordringen om hvordan Linux-serveren kunne beskyttes. Linux-serverbeskyttelsespraksis kan ikke være en engang prøvelse, men det er en permanent mekanisme som varer så lenge serveren blir brukt. Målet er å øke sikkerheten og raskt oppdage utfordringer (Feng, 2004).

Ved installering av Linux-serveren er det avgjørende at unødvendige tjenester er deaktivert. Unødvendige pakker bør også fjernes. Den største trusselen mot Linux-pakker stammer fra usikre programvarepakker som brukes i utførelsen av en rekke kommandoer som kommer fra eksterne steder. De inkluderer R-kommandoer som; rsh, rexec og rlogin. Disse programvarepakker har en tendens til å overføre kommandoer, brukernavn og passord gjennom nettverk i fravær av tidligere opptak. Ved å avlyse trafikken kan angriperen se informasjonen som kan stoppe en kritisk sikkerhetsutfordring. Det er således påkrevd at disse pakkene slettes fra Linux-serveren og bruk protokoller som bruker kryptert kommunikasjon for eksempel SSH.

Administratoren av serveren bør ta forsiktige hensyn til om det er kritisk for et antall protokoller, for eksempel File Transfer Protocol og Telnet, å ha klienten så vel som serverstøtten. Det er viktig at filer fra isolerte FTP-servere lastes ned. Kjøring av en FTP-server som ikke brukes er en kritisk trussel mot Linux-servere (Forrest, 2010).

Administratoren av Linux-servere må innstille Linux-operativsystem som tilbyr sikker overføring av filer for å forbedre pakkeoppdateringen samt bruken av relevante patcher. Alle data som går gjennom disse nettverkene må krypteres av administratoren der det er mulig. Administratorer av systemer har brukt SSH så vel som Telnet-protokollene i sin eksterne tilgang til Linux-serveren.

Imidlertid er Telnet nå absolutt fordi det aldri krypterer data som det utveksles med servere, og dette inkluderer brukeropplysningene. Enhver person i dette nettverket mellom datamaskinadministratoren så vel som den kommuniserende serveren er i stand til å avskjære pakker og ha brukerlegitimasjon og dermed få full kontroll over serveren. SSH-protokollen er således foretrukket fremfor Telnet-protokollen av disse grunnene.

SSH-protokollen gir kommunikasjonsbeskyttelse i serveren ved å levere asymmetrisk grunnleggende kryptografi. Kommunikasjonen mellom SSH-servere og klienter har en tendens til å være kryptert og uforklarlig til tredjeparter som kunne fange utvekslede pakker. Autentiseringen av SSH-serveren kan oppnås gjennom kryptert overføring av brukeridentifikasjoner. Dette kan også unngås ved å bruke manuelt opprettede asymmetriske nøkler der det ikke er nødvendig å benytte passord (Ghosh, 2007).

I tilfelle autentiseringen utføres av nøkler som genereres manuelt uten overføring av passord, skal autentiseringsnøkkelen være enheten som har tilgang til Linux-serveren. Anvendelse av brukeropplysninger er avgjørende for administratorer å logge seg på serveren der det brukes forskjellige datamaskiner for isolert pålogging på serveren. For kommunikasjon og koordinert autentisering mellom to Linux-servere er det viktig at manuelt opprettede asymmetriske nøkler brukes. Dette er fordi det er faste parter i denne kommunikasjonen og dermed unngår kravet om å skrive passord på filene.

Sikre kanaler for kommunikasjon

Hvis det er behov for overføring av filer mellom Linux-servere og eksterne maskiner, bør det gjøres via sikre kommunikasjonskanaler. FTP-protokollen er veldig populær for filoverføring. Imidlertid står den overfor lignende sikkerhetsrisikoer akkurat som Telnet-protokollen. Det er derfor anbefalt sikre alternativer som SCP, FTPS eller SFTP. SFTP (Secure File Transfer Protocol) har en tendens til å etablere sikker og kryptert kommunikasjon ved hjelp av fjernkonstruksjoner for å forbedre tilgangen til, overføringen og administrasjonen av filer. Denne protokollen bruker også en SSH-tunnel i manipulering av filer i isolerte servere (Ilgun, 2011).

Sikkerhetsoverføringsprotokollen (FTPS) stammer fra FTP grunnlagt på Transport Layer Security (TLS), samt Secure Sockets Layer (SSL) som forbedrer sikker dataoverføring. FTPS er veldig mye det samme som Hypertext Transfer Protocol Secure (HTTPS) protokollen og krever et digitalt sertifikat på servere. Gitt at andre parter i kommunikasjonen burde stole på det monterte serverens digitale sertifikat, kan dette innse utfordringer i gjennomføringen av hele løsningen. Hvis overføringsfunksjonen er ansatt for systemets behov, så vel som med hensyn til serveradministrasjon, kreves det at SFTP-protokollen er ansatt, gitt at det gir mange filstyringsalternativer (Javitz, 2010).

I tilfelle filer blir overført fra Linux-serveren som en tjeneste for sluttbrukerne, anbefales det å bruke FTPS-protokollen siden den forbedrer autentiseringen av serveren ved bruk av digitale sertifikater. FTPS har en tendens til å bruke UDP- eller TCP 990 så vel som 989-porter for å etablere tilkoblinger og overføre filer. Det er dermed viktig at disse portene forblir åpne på Linux-servere. Den sikre kopieringsprotokollen (SCP) som bruker SSH-protokoll garanterer kryptering så vel som autentisering av data som er kryptert. Denne prosessen er den samme som brukes av SFTP-protokollen. Imidlertid innebærer denne flere muligheter enn bare overføring av filer. SCP benytter porten 22 TCP for å garantere sikker overføring av filer.

Linux-serveren må ha ekstra plass til å lagre data samlet under operasjoner. Administratorer pleier å bruke isolerte filsystemer i utvidelsen av serverkapasiteten. Linux-servere er vanligvis koblet til eksterne servere for lagring av data og bruk av en del av filsystemet. Eksterne filsystemer er tilgjengelige via nettverk og systemadministratorer har lignende opplevelser som om de eksterne filsystemene er kryptert på Linux-serveren. Overføringen av data mellom servere og isolerte filsystemer bør være tilstrekkelig sikret for ikke å kompromittere de overførte dataene. Det anbefales at systemadministratorer bruker Secure Shell File System (SSHFS) som forbedrer ansettelsen av isolerte filsystemer på Linux-servere. SSHFS benytter SSH-koblingen for sikker overføring av data i nettverk. I utgangspunktet benytter SSHFS SFTP-protokollen som forbedrer filhåndtering, sikker tilgang samt dataoverføring på isolerte filsystemer (Klein, 2005).

Linux-delen kan bare beskyttes effektivt gjennom at administratoren er godt informert. Dette kan gjøres ved at han har en jevn flyt av pålitelig informasjon om sikkerhetstrender som angår relevant Linux-distribusjon så vel som installerte pakker med programvare. Det har blitt funnet mange sårbarheter over tid i Linux-programvarepakker, og de kan brukes av angripere i å kompromittere servere. Gitte e-postlister som takler sikkerhetsutfordringer i Linux distribusjonsadministratorer er i stand til å handle omgående gjennom rettidig oppdatering av systemet så vel som eliminering av sårbarheter. Det er dermed avgjørende å bruke sikre adresselister i Linux-distribusjoner. Grunnlagt på samlet informasjonsadministratorer kan bestemme når systemet kan oppdateres, samt programvarepakker som kan brukes på serverne.

Yum-pakkesjefen er blitt anbefalt for passende get- eller Red Hat-distribusjoner, for det garanterer effektiv installasjon så vel som oppdatering av programvarepakker og relevante avhengigheter. Det forbedrer også effektiv sletting av programvarepakker. Pakkeadministratorer har en tendens til gjentatte ganger å sjekke pakkens digitale signatur og unngå installasjon hvis slike pakker har ugyldige signaturer. Administratorer må ansette standard programvarelager som er foreslått av leverandører. Programvarepakker kan også hentes fra flere depoter, men dette krever ekstra forholdsregler. Det er forsvarlig for administratorer å verifisere de nye versjonene av pakker før de oppdateres for å vurdere deres stabilitet så vel som eventuelle sikkerhetsutfordringer. Installasjoner skal bare skje med programvare som er fraværende i offisielle depoter. Disse pakkene kan også fås fra et antall hvis depoter, men med ekstra forsiktighet. Uoffisielle programvarepakker i et test ansikt skal ikke installeres på produksjons Linux-servere (Ko, 2011).

Opptak av en liste over pakker som er installert, samt tidligere versjoner, antas å være den beste praksisen. Dette skyldes at administratoren vil kunne få tilgang til de nyeste, stabile versjonene. Hvis nye pakker er en trussel mot serverens stabilitet, kan administratoren få de tidligere versjonene installert og installere dem på nytt. Administratorer kan sette systemet til å foreta en automatisk oppdatering av programvarepakker, selv om dette vanligvis ikke anbefales. Den beste fremgangsmåten er å foreta en gjensidig verifisering av hver oppdatering av pakker.

Administratoren kan også sette sammen pakkeadministratorene for å sende intermitterende varsler om e-post der han kan liste alle pakker som kan serveroppdateres. Ved en gjennomgang av disse pakkene er det på administratoren å ta en beslutning om den separate oppdateringen av hver pakke. Den avbrutte sendingen av e-postmeldinger gjennom Yum-pakkehåndteringen kan være konfigurert i konfigurasjonsfilen (Kruegel, 2003). Det er avgjørende å gjenoppta den oppdaterte Yum-tjenesten når du gjør endringer i den konfigurerte filen. Administratorer som bruker Debian-distribusjoner, berømmes både i installasjonen og i ansettelsen av apticron-pakken med programvare for å garantere rutinemessige kontroller i oppdateringen av pakker samt e-postvarsler. I konfigurasjonsfilen for apticron-pakkeprogramvaren er det forsvarlig å oppgi e-postadressen der varselet vil bli sendt. I tilfelle administratoren har tilstrekkelig erfaring med å definere pakkene som kreves på serverne, oppfattes det som en raffinert praksis å komme med et lokalt lager i et slikt nettverk. Oppbevaringsstedet for kjente så vel som stabile pakkeversjoner kan bli generert på en Linux-server hvor andre nettverksservere kan hente pakker. Slike løsninger krever detaljerte kontroller av alle pakker før lagring i et lokalt lager.

Linux-servere har en tendens til å multitaske gjennom å tilby flere tjenester i ett tilfelle. Dette fører til at serveren blir brukt økonomisk så vel som optimal effektivitet. Systemadministratoren må imidlertid fortsette å observere sikkerhets gyldne regel. Dette sikrer at systemet er like sikkert som de svært ærverdige tjenestene i det. Den perfekte løsningen oppnås når hver Linux-server bare tilbyr en tjeneste til sluttbrukerne (Lane, 2010).

Det finnes en rekke verktøy som kan brukes til å øke sikkerheten. De bekjemper uautorisert tilgang til ondsinnede forsøk, samt tjenester som kan forene Linux-serveren. Linux har flere innebygde sikkerhetsverktøy for eksempel SELinux og Netfilter. Netfilter er en funksjon som vanligvis avskjærer samt behandler pakker med nettverk. Dette kan bli funnet i omtrent alle Linux-systemer som har 2.4 og over versjoner av kjernen.

En ny mekanisme for å oppdage ukjente Linux / IOS-anfall

Nettbaserte sårbarheter gir betydelige deler av sikkerhetseksponeringer for datanettverk. For å garantere deteksjon av kjente angrep som finnes i nettet misbrukte deteksjonssystemer pleier det å være utstyrt med mange signaturer. Det er imidlertid ikke lett å være oppdatert med den daglige avsløringen av sårbarheter som er nettrelaterte. Bortsett fra at sårbarheter kan introduseres gjennom installasjonsspesifiserte nettbaserte applikasjoner. Dette betyr at systemer for misbruk av deteksjon bør støttes av avviksapplikasjoner (Lee, 2000).

Dette papiret foreslår et system for inntrenging av detektorer som bruker en tydelig anomalitetsdeteksjonsmetode ved påvisning av ukjente Linux / IOS-anfall. Dette systemet har en tendens til å vurdere ulike klientforespørsler som har en referanse for en rekke serverprogrammer og genererer modeller for et bredt spekter av forskjellige funksjoner for disse spørsmålene. Noen av disse funksjonene inkluderer server side programmer vurdere mønstre samt verdiene for hver parameter i sin påkallelse. Særlig ansettelsen av søknaden bestemte attributter av de påkalte parametere gjennomsyrer systemet for å utføre en konsentrert vurdering og generere et minimert antall falske positiver.

Dette systemet har en tendens til automatisk å utlede parameterprofilene som er koblet til webapplikasjoner, for eksempel deres lengde, så vel som deres struktur og tilknytningen mellom spørsmål. Dette betyr at den er i stand til å bli distribuert i forskjellige aktuelle miljøer uten behov for tidkrevende innstilling eller konfigurering. Anomali-deteksjonsapplikasjonen som presenteres i denne artikkelen har en tendens til å imøtekomme i form av innleverte webservere webfiler som har en samsvar med Common Log Format (CLF) som genererer en poengsum som er avvikende karakter for hver nettforespørsel (Liberty, 2002).

Nærmere bestemt, vurderer evalueringsmetodene som brukes av dette verktøyet på de spesifikke HTTP-struktur-spørringene som har parametere. Slike spørsmål om tilgangsmønstre samt deres parametere pleier å sammenlignes med instituttprofiler som er spesielle for programmet eller et hvilket som helst aktivitetsprogram som kan refereres til. Denne strategien har en tendens til å forbedre en høyt konsentrert vurdering når det gjelder deteksjonsmetoder for generisk anomali som ikke tar hensyn til bestemte programmer som påberopes.

Anomalideteksjon avhenger av modeller av brukeres mentale oppførsel så vel som applikasjoner og har en tendens til å tolke avvik fra vanlig oppførsel som bevis for ondsinnet aktiviteter. Antagelsen er at angrepsmønstre har en tendens til å skille seg fra vanlig oppførsel. Anomalideteksjon forutsetter at forskjellen kunne uttrykkes både kvantitativt og kvalitativt. Den foreslåtte deteksjonsstrategien evaluerer HTTP-forespørsler på samme måte som de logges av de fleste vanlige webservere. Vurderingen konsentrerer seg om forespørsler som bruker parametere som overfører verdier til aktive dokumenter. Mer slik at inngangsdeteksjonsprosessen består av et sett med URI-er som er bestilt U = {u1, u2,. . . , um} og hentet ut fra effektive GET-forespørsler; returkodene har en tendens til å være mer eller lik 200, men bør være mindre enn 300 (Liljenstam, 2003).

URI-ui er uttrykt i deler av elementer i den ønskede ressursstien, en alternativ komponent av baneinformasjon (pinfoi), samt en alternativ streng med spørring (q). Spørrestrengen brukes ved å sende parametere til ressurser som er referert til der den påpekes ved å lede ''? '' -Tegn. En spørringsstreng består av bestilte lister med n par attributter sammen med deres analoge verdier. I dette tilfellet q = (a1, v1), (a2, v2),. (an, vn) hvor ai 2 A, er et sett med attributter mens vi er en streng.

Vurderingsprosedyren konsentrerer seg om forholdet mellom verdier, programmer og parametere. URI-er som mangler spørringstrenger, anses som irrelevante og dermed utvist fra U. Bortsett fra URI-er er det partisjonen av U i Ur-undergrupper. Følgelig blir alle refererte programmer r tildelt tilsvarende spørsmål Ur. Prosessen med anomalideteksjon bruker flere forskjellige modeller i et sett med forskjellige modeller for å påpeke anomale oppføringer. En modell kan sies å være et sett av mekanismer som er benyttet for å vurdere spesifikke spørringsfunksjoner. Denne funksjonen kan være assosiert med enkelt spørretegn (Lindqvist, 2001).

I lys av den tilnærmede forespørselsfunksjonens fordeling av lengde med l og r2-parametere er det opp til deteksjonsfasen å evaluere en parameteranomali med lengde er l. Dette gjøres ved å beregne lengden l avstand fra u lengdefordelingsmiddelverdien. Dette kan uttrykkes ved bruk av Chebyshev-ulikheten. Bare strenger hvis lengde overstiger u blir oppfattet som ondsinnet. Dette gjenspeiles i sannsynlighetsberegningen siden strengene øvre grense er lengre sammenlignet med gjennomsnittet og dermed relevant. Kategoriseringen av intrusjonsdeteksjonsstrategier til misbruk og anomali-baserte har en tendens til å være ortogonal med hensyn til den spesifikke metoden som brukes for å tilskrive skadelige eller vanlige angrep. I noen tilfeller blir det benyttet signaturer i spesifikasjonen av brukerens prosjektert atferd (Mahoney, 2002).

konklusjonen

Ukjente Linux / IOS-angrep må håndteres ved hjelp av verktøy og teknikker som består av presisjonen for signaturbasert eksponering med anomalifundert deteksjonssystem for inntrengelsesfleksibilitet. Denne artikkelen har foreslått en ny strategi for å utføre anomali påvisning av Ukjente Linux / IOS-angrep. Den bruker HTTP-spørringer som er satt sammen av parametere. Det er et pionerdeteksjonsanomalisystem som er modifisert for å oppdage Ukjente Linux / IOS-angrep. Den utnytter applikasjonsspesifikke korrelasjoner mellom Linux-serverprogrammer og parametere som brukes i deres påkallelse. Ideelt sett krever ikke dette programmet noen installasjonsspesifikke konfigurasjoner. Den lærer også sine søkeattributter fra trening av data. Imidlertid kan graden av følsomhet med anomale data konfigureres gjennom terskler som kan passe til forskjellige retningslinjer for nettsteder.

Referanser

Almgren, MH Debar, M. Dacier, (2000), Et lett verktøy for å oppdage webserverangrep, i: Utførelser av ISOC-symposiet om nettverks- og distribuerte systemer Sikkerhet, San Diego, CA ,.

Denning DE, (2012), En inntrengingsdeteksjonsmodell, IEEE Transaksjoner på Software Engineering 13 (2) 222-232.

Feng, HJ Giffin, Y. Huang, S. Jha, W. Lee, B. Miller, (2004). Formalisering av sensitivitet for statisk analyse for inntrengingsdeteksjon, i: Forhandlinger i IEEE Symposium om Securityand Privacy, Oakland, CA ,.

Forrest, S. (2010), En følelse av selvtillit for UNIX-prosesser, i: Foredrag i IEEE-symposiet om sikkerhet og personvern, Oakland, CA, s. 120-128.

Ghosh, AKJ Wanken, F. Charron, (2007), Påvisning av uregelmessige og ukjente inntrengninger mot programmer, i: Prosedrag av den årlige datasikkerhetsapplikasjonskonferansen (ACSAC_98), Scottsdale, , pp. 259-267.

Ilgun, RA Kemmerer, PA Porras, K. (2011) Statens overgangsanalyse: et regelbasert inntrengingsdeteksjonssystem, IEEE Transaksjoner på Software Engineering 21 (3) 181-199.

Javitz, A. Valdes HS, (2010), SRI IDES statistisk anomaliedetektor, i: Forhandlinger i IEEE Symposium om Securityand Privacy, Oakland, CA ,.

Klein D., (2005), Forsvar mot wilysurfer: Webbaserte angrep og forsvar, i: Foredrag i USENIX-workshopen om inntrengingsdeteksjon og nettverksovervåking, Santa Clara, CA ,.

Ko, CM Ruschitzka, K. Levitt, (2011), Overvåking av sikkerhetskritiske programmer i distribuerte systemer: En spesifikasjonsbasert tilnærming, i: Gjennomgang av IEEE Symposium om sikkerhet og personvern, Oakland, CA, s. 175-187.

Kruegel, CD Mutz, WK Robertson, F. Valeur, (2003), Bayesian hendelse klassifisering for inntrenging gjenkjenning, i: Prosedyrene i den årlige datasikkerhetsapplikasjonskonferansen (ACSAC 2003), Las Vegas, NV ,.

Lane, TCE Brodley, (2010), Temporal sekvens læring og data reduksjon for anomalydetection, i: Utførelser av ACM konferansen om Computer og Communications Security, San Francisco, CA, ACM Press, New York, pp. 150-158.

Lee, WS Stolfo, (2000), Et rammeverk for konstruksjon av funksjoner og modeller for inntrengingsdeteksjonssystemer, ACM Transaksjoner på informasjon og system sikkerhet 3 (4) 227-261.

Liberty, DJ Hurwitz, (2002), Programmering ASP.NET, O_Reilly, Sebastopol, CA.

Liljenstam, MD Nicol, V. Berk, R. Gray, (2003), Simulering av realistisk nettverksmasketrafikk for ormvarselsystemdesign og testing, i: Prosedyrer av ACM Workshop på Rapid Malcode, Washington, DC, pp. 24-33.

Lindqvist, M. Almgren, U. (2001), Program-integrert datainnsamling for sikkerhetsmonitoring, i: Forløp av nyere fremskritt i inntrenging av deteksjon (RAID), Davis, CA, oktober 2001, LNCS, Springer,, pp. 22-36.

Mahoney, P. Chan, M. (2002), Lær ikke-stationære modeller av normal nettverkstrafikk for å oppdage nye angrep, i: Prosedyrene til 8th International Conference on Knowledge Discoveryand Data Mining, Edmonton, Alberta, Canada, s. 376-385.

Paxson, V. (2008), Bro: et system for å oppdage nettverksinntrengere i sanntid, i: Forløp i 7th USENIX Security Symposium, San Antonio, TX.

Vedlegg:
filetBeskrivelseFilstørrelse
Last ned denne filen (a_new_mechanism_to_detect_unknown_linux_IOS_attacks.pdf)En ny mekanisme for å oppdage ukjente Linux / IOS-anfallEn ny mekanisme for å oppdage ukjente Linux / IOS-anfall476 kB

Flere eksempler på skrifter

Spesialtilbud!
Bruk Kupong: UREKA15 å få 15.0% av.

Alle nye ordrer på:

Skrive, omskrive og redigere

Bestill nå