enarzh-CNfrdeiwjanofaptruessv
Um novo mecanismo para detectar ataques desconhecidos de Linux / IOS
1 1 1 1 1 1 1 1 1 1 Avaliação 5.00 (2 Votos)

Introdução

Gerando Payloads usando MetaSploit e MSF Venom

O MSF Venom é uma ferramenta de linha de comando que ajudará a equipe de testes a gerar cargas autônomas para executar em máquinas e sistemas vulneráveis ​​para acessar remotamente os sistemas. O MSF Venom é uma combinação de codificação MSF Payload e MSF que oferece suporte a várias opções no teste de vulnerabilidades do sistema. Algumas dessas opções aproveitadas pelo MSF Venom incluem o uso de carga útil que descreve como usar cargas personalizadas para os testes, listar as várias opções padrão de cargas úteis, descrever o tipo de módulo que pode incluir cargas úteis, codificadores, determinar o tamanho da carga útil formato, liste os formatos disponíveis (Almgren, 2000).

O MSF Venom também exige que os testadores de penetração determinem o tipo de codificador a ser usado, a arquitetura do sistema, a plataforma em que a carga útil funcionará, o tamanho máximo da carga útil resultante, o tamanho máximo da carga codificada e a lista de caracteres a serem evitados. os testes, o número de vezes para codificar a carga útil, especificar um arquivo executável personalizado a ser usado como modelo e preservação do comportamento do modelo e injeção de carga útil. Abaixo está um instantâneo das várias opções do MSF Venom disponíveis para a fase de testes de penetração.

Esta é uma linguagem usada para explicar o programa de metaspoilt. Pode usar qualquer idioma é o idioma padrão.

Hipótese: Como conceitos falsos positivos e falsos negativos podem ser usados ​​para determinar a análise de sensibilidade em sistemas.

É importante proteger e proteger o sistema de qualquer ameaça baseada em cyber ao desenvolver e executar sistemas e aplicativos de computador. Uma análise de sensibilidade é um estudo complexo de incertezas na saída de um sistema ou aplicativo de computador. A análise de sensibilidade envolve o teste de várias suposições e testes para determinar o nível de incerteza e o impacto de uma variável na saída do sistema (Denning, 2012).

Este estudo é importante para determinar a robustez do sistema testando incertezas, aumentar a compreensão do aplicativo ou sistema para identificar vulnerabilidades e pontos fortes do sistema ou aplicativo. A análise de sensibilidade também ajudará a equipe de desenvolvimento de sistemas e aplicativos a identificar incertezas e vulnerabilidades, ajudando a equipe de desenvolvimento a reduzir essas incertezas, erros e vulnerabilidades. Também ajuda a identificar partes da entrada do modelo que não afetam a saída, ajudando a simplificar o modelo do sistema (Feng, 2004).

O estudo também ajudará a melhorar a comunicação entre a equipe de desenvolvimento e os tomadores de decisão para trocar idéias e fazer recomendações para melhorar o sistema antes de ser divulgado ao público. O estudo também identifica fatores de entrada e impactos na saída do sistema para determinar as medidas ótimas e parâmetros sensíveis dentro do sistema que podem influenciar o sistema final (Forrest, 2010).

O objetivo deste trabalho de pesquisa é testar um sistema quanto a incertezas e erros para reduzir as vulnerabilidades que podem expor o sistema a violações por meio de ameaças cibernéticas. Alguns dos ataques a serem testados incluem ataques desconhecidos e conhecidos. Ameaças e ataques conhecidos são basicamente ataques bem identificados por assinaturas em mecanismos antivírus e sistemas de detecção de intrusões e listas negras de reputação de domínio. Ataques desconhecidos, por outro lado, são novos sem assinatura de ataque registrada e, portanto, representam uma ameaça mais séria, já que seu modo de operação é desconhecido (Ghosh, 2007).

Em vista disso, o artigo examinará como utilizar os conceitos de falso positivo e falso negativo para testar a análise de sensibilidade. Um falso positivo, também chamado de alarme falso, é um resultado de teste que indica que uma determinada condição foi atendida. Este é um erro do tipo I que verifica uma única condição, por exemplo, a presença de erros de código no sistema com os resultados true ou false. O falso negativo, por outro lado, é um teste que indica que os resultados na condição que está sendo testada falharam, mas o resultado real foi bem-sucedido. Este é um erro do tipo II em que uma única condição é testada com o resultado positivo ou negativo (Ilgun, 2011).

Um dos aplicativos a serem usados ​​neste documento é o aplicativo MSF Venom e as ferramentas Metasploit para realizar testes de penetração no sistema ou aplicativo de destino. O MSF Venom é uma ferramenta de linha de comando que ajudará os desenvolvedores de sistemas a gerar cargas autônomas em sistemas vulneráveis ​​para acessar remotamente o sistema. O Metasploit, por outro lado, é uma ferramenta de teste que permite aos testadores de invasão de aplicativos contornar soluções antivírus que permitem que a equipe de testes gere payloads, teste segmentação de rede e aumente o desempenho ea produtividade do sistema, reportando recursos do sistema e permitindo atualizações automáticas. Este artigo examinará os testes de penetração a serem realizados para testar vulnerabilidades nos sistemas, identificar tipos de erros e ataques e recomendar maneiras de melhorar a produtividade do sistema e otimizar a produtividade (Javitz, 2010).

Ataques conhecidos e desconhecidos

Ataques cibernéticos conhecidos são ataques maliciosos a sistemas e aplicativos de computador que já são conhecidos dos testadores de penetração e cuja assinatura já foi identificada. Os ataques conhecidos começam como desconhecidos e só se tornam conhecidos quando são identificados como maliciosos através de laboratórios automáticos ou manuais em laboratórios de fornecedores e uma assinatura atribuída a eles. A maioria das atuais soluções de análise dinâmica usa métricas sofisticadas para detectar se uma carga útil gerada é maliciosa, com algoritmos preditivos aplicados para caracterizar a atividade de carga útil (Klein, 2005).

O ataque desconhecido é apenas um novo ataque sem assinatura. A diferença entre um ataque conhecido e um desconhecido é uma diferença de tempo, já que com o tempo o desconhecido se torna conhecido. O arquivo do invasor será simplesmente reconhecido pelos mecanismos de pesquisa como mal-intencionado, criando, assim, a necessidade de identificar uma carga útil desconhecida do mecanismo de pesquisa. Isso envolverá a compra de mecanismos de pesquisa disponíveis e a execução de arquivos maliciosos até que um hacker encontre meios de contornar os mecanismos de pesquisa e torne o arquivo malicioso indetectável (Ko, 2011).

O design de sistemas seguros que podem resistir a ataques cibernéticos não é apenas difícil, mas muito complexo. No passado, os projetistas costumavam construir fechaduras que são muito fortes, colocando fortes mecanismos de segurança em torno de seus sistemas. No passado recente, os projetistas mudaram e agora estão construindo sistemas que ainda estão em operação, apesar dos contínuos ataques através de técnicas que são bem desenvolvido através de tolerância a falhas, bem como confiabilidade (Kruegel, 2003).

Meta-sploit

O conceito de exploração é geralmente dividido em vários elementos. Ele primeiro se conecta à vulnerabilidade. Ao se conectar, o código vulnerável recebe os dados da carga útil. A vulnerabilidade é então explorada pela carga útil e um tipo de componente de shell é criado. Dependendo do tipo de carga transportada, o componente do shell pode ser reconectado ao manipulador que é normalmente gerado antes de entregar a carga útil. Ao estabelecer a conexão, o shell pode receber comandos para extrair informações da máquina de destino. Também poderia fazer uma extensão de sua funcionalidade através da entrega do código (Lane, 2010). Ao oferecer a flexibilidade da entrega de vários tipos de cargas úteis de shell, os elementos de exploração tendem a empregar a interface genérica que é oferecida pelo elemento payload. As várias execuções da interface de carga útil oferecem cargas úteis de shell opcionais que provavelmente serão distribuídas para a vulnerabilidade. A descoberta de vulnerabilidades e o desenvolvimento de exploits é uma tarefa desafiadora que exige várias mentalidades e motivação. Por mais que as ferramentas fizzing estejam presentes nas estruturas do Metaspolit na descoberta de vulnerabilidades, há muito tempo em que o Metaspolit será empregado na exploração de vulnerabilidades conhecidas, que é sua função principal (Lee, 2000).

Não é necessário que as vulnerabilidades estejam presentes na rede e que as redes se tornaram administradores muito seguros e até mesmo os usuários que não são treinados normalmente são o elemento vulnerável visado. Com a identificação de usuários vulneráveis, a entrega de explorações pode ser feita por meio de ataques de phishing ou pessoalmente, usando um insider recrutado. Todos os elementos do metamodelo são percebidos como fachadas. Por exemplo, os elementos de conexão para Metasploit uma estrutura genérica têm chamadas API sendo oferecidas para fazer conexões com quase todos os serviços de renome no sistema operacional (Liberty, 2002).

Os elementos de payload oferecem a estrutura de exploração com códigos que podem ser implementados após o sucesso de uma exploração. No entanto, os manipuladores não funcionam como cargas úteis, mas, por motivos de execução, fazem parte da hierarquia de carga útil da classe. Para encontrar um amplo controle detalhado das redes direcionadas, é necessário empregar cargas úteis capazes de gerar tipos de elementos do servidor em máquinas de destino. Além disso, sua capacidade precisa ser capaz de ser estendida sempre que isso for necessário (Liljenstam, 2003).

Para obter esse tipo de funcionalidade, é necessário incorporar o Protocolo, bem como o comando do lado do invasor, bem como os elementos de gerenciamento. Vários desses elementos podem ser observados no framework Metasploit. Os elementos da fachada da UI oferecem interfaces que permeiam o invasor para gerenciar como um número de cargas úteis e manipuladores podem ser anexados aos elementos de exploração antes do lançamento. Esses elementos de fachada incluem gerentes, controladores, proxies, visualizações, processadores de comandos e comandos. Os elementos de armazenamento de dados têm interfaces que permeiam o invasor para armazenar detalhes de configurações de um ataque (Lindqvist, 2001).

Tipo I e tipo II erro

O erro Tipo 1 também é referido como o falso positivo, pois isso tende a rejeitar a hipótese nula mesmo quando é verdadeira. Essencialmente, aceita uma hipótese opcional quando os resultados são submetidos ao acaso. Isso tende a acontecer quando se observam disparidades onde não há nenhuma. O erro Tipo ll também é referido como o falso positivo. Isso ocorre porque tende a rejeitar a hipótese nula quando a hipótese opcional é considerada como o estado verdadeiro da natureza. É um erro em que a pessoa não aceita uma hipótese opcional por ser inadequada em poder. Acontece quando os indivíduos não conseguem observar as disparidades, embora possa haver uma (Mahoney, 2002).

O teste de hipóteses é o processo de testar se as disparidades em duas distribuições amostradas poderiam ser explicadas por acaso aleatório ou não. Se for possível concluir que há uma maneira significativa em que duas distribuições variam, deve haver uma precaução adequada para perceber que as disparidades não são por acaso. Os erros do tipo I não permitem hipóteses não comprovadas, consequentemente, os indivíduos tomam precauções na redução das chances de ocorrência. Convencionalmente, são feitas tentativas para definir erros do tipo I como 0.05 ou 0.01, onde há apenas uma ou cinco hipóteses de ocorrência de um fenómeno em relação ao grau de significância. No entanto, não é garantido que 100 ou 0.05 sejam adequadamente raros, portanto, é necessário escolher com cautela níveis significativos. O teste múltiplo, que é o provável incremento nos erros do Tipo I, acontece sempre que há um uso repetido de erros estatísticos (Paxson, 0.01).

Novo mecanismo que detecta ataques desconhecidos para torná-los conhecidos

Não é possível construir um sistema de tolerância à incursão que possa sobreviver por uma quantidade significativa de tempo sem lidar com desafios de ataques desconhecidos, bem como recursos restritos de failover. É prudente endurecer o sistema para apreciar o fator trabalho do adversário. No entanto, o tempo necessário para a identificação de vulnerabilidades emergentes em qualquer sistema, bem como o desenvolvimento de sua exploração, pode ser de alguma forma grande (Almgren, 2000).

Para um oponente que está determinado, isso pode ser tanto tempo quanto dinheiro. Após o desenvolvimento de um ataque, requer tempo limitado para ser executado. Na maioria dos casos, há tempo limitado para a criação de variantes de ataque simples. Caso o ambiente de ameaças de um sistema tolerante a invasões envolva adversários com recursos suficientes, o sistema deve ser capaz de lidar com muitos ataques que são desconhecidos (Denning, 2012). Servidores Linux

O Linux se tornou uma escolha popular para sistemas operacionais no ambiente de servidor. A granularidade, bem como a flexibilidade das configurações, a segurança, o alto desempenho e a confiabilidade são seus méritos em comparação com outros sistemas. Dadas as limitações de infra-estrutura, vários serviços são hospedados em um servidor, percebendo assim o desafio de como o servidor Linux pode ser protegido. A prática de proteção do servidor Linux não pode ser uma prova extraordinária, é um mecanismo permanente que dura desde que o servidor esteja sendo usado. O objetivo é aumentar a segurança e detectar rapidamente os desafios (Feng, 2004).

Após a instalação do servidor Linux, é essencial que os serviços desnecessários estejam desabilitados. Pacotes desnecessários também devem ser removidos. A maior ameaça aos pacotes Linux vem de pacotes de software inseguros empregados na execução de vários comandos que vêm de locais remotos. Eles incluem os comandos R, como; rsh, rexec e rlogin. Esses pacotes de software tendem a transmitir comandos, nomes de usuário e senhas através de redes na ausência de gravação anterior. Ao interceptar o tráfego, o atacante pode ver as informações que podem interromper um desafio crítico de segurança. Portanto, é necessário que esses pacotes sejam excluídos do servidor Linux e empreguem protocolos que façam uso de comunicação criptografada, por exemplo, o SSH.

O administrador do servidor deve fazer considerações cautelosas sobre se é crítico para um número de protocolos, por exemplo, o File Transfer Protocol eo Telnet possuírem o cliente, bem como o suporte do servidor. É importante que os arquivos de servidores FTP isolados sejam baixados. A execução de um servidor FTP que não está sendo usado é uma ameaça crítica aos servidores Linux (Forrest, 2010).

O administrador dos servidores Linux deve instituir o sistema operacional Linux, que oferece transferência segura de arquivos para aprimorar a atualização de pacotes, bem como a aplicação de correções pertinentes. Todos os dados que passam por essas redes devem ser criptografados pelo administrador sempre que possível. Os administradores de sistemas têm utilizado o SSH e os protocolos Telnet em seu acesso remoto ao servidor Linux.

No entanto, o Telnet agora é absoluto porque nunca criptografa dados que troca com servidores e isso inclui as credenciais dos usuários. Qualquer pessoa nessa rede entre o administrador do computador e o servidor de comunicação é capaz de interceptar pacotes e possuir credenciais de usuário, obtendo assim o controle completo do servidor. O protocolo SSH é assim preferido sobre o protocolo Telnet por estas razões.

O protocolo SSH fornece proteção de comunicação no servidor através da provisão de criptografia fundamental assimétrica. A comunicação entre servidores SSH e clientes tende a ser criptografada e inexplicável para terceiros que podem interceptar pacotes trocados. A autenticação do servidor SSH pode ser obtida por meio da transmissão criptografada de credenciais do usuário. Isso também pode ser evitado usando chaves assimétricas criadas manualmente, onde não há necessidade de empregar senhas (Ghosh, 2007).

Caso a autenticação seja feita por chaves geradas manualmente, sem a transferência de senhas, a chave de autenticação deve ser o dispositivo que pode acessar o servidor Linux. O uso de credenciais de usuário é fundamental para que os administradores efetuem login no servidor em que computadores distintos são empregados para efetuar login isolado no servidor. Para comunicação e autenticação coordenada entre dois servidores Linux, é fundamental que as chaves assimétricas criadas manualmente sejam empregadas. Isso ocorre porque há partes permanentes nessa comunicação, evitando assim a necessidade de gravar senhas nos arquivos.

Canais seguros de comunicação

Se houver necessidade de transferência de arquivos entre servidores Linux e máquinas remotas, isso deve ser feito através de canais seguros de comunicação. O protocolo FTP é muito popular para transferências de arquivos. No entanto, enfrenta riscos de segurança similares, assim como o protocolo Telnet. Portanto, opções seguras como SCP, FTPS ou SFTP são recomendadas. O Protocolo de Transferência de Arquivo Seguro (SFTP) tende a estabelecer comunicação segura e criptografada usando dispositivos remotos para melhorar o acesso, a transferência e o gerenciamento de arquivos. Este protocolo também emprega um túnel SSH na manipulação de arquivos em servidores isolados (Ilgun, 2011).

O FTPS (File Transfer Protocol Secure) origina-se do FTP fundado em TLS (Transport Layer Security), bem como do SSL (Secure Sockets Layer), que aprimora o transporte seguro de dados. FTPS é praticamente o mesmo que o protocolo HTTPS (Hypertext Transfer Protocol Secure) e exige um certificado digital nos servidores. Como as outras partes da comunicação devem confiar no certificado digital do servidor montado, isso pode gerar desafios na execução de toda a solução. Se a capacidade da transferência for empregada para as necessidades do sistema, bem como para fins de administração do servidor, é necessário que o protocolo SFTP seja empregado, uma vez que ele fornece muitas alternativas de gerenciamento de arquivos (Javitz, 2010).

Caso os arquivos sejam transmitidos do servidor Linux como um serviço para seus usuários finais, recomenda-se empregar o protocolo FTPS, uma vez que aprimora a autenticação do servidor pelo uso de certificados digitais. O FTPS tende a empregar as portas UDP ou TCP 990, bem como 989, para estabelecer conexões e transferir arquivos. Portanto, é essencial que essas portas permaneçam abertas nos servidores Linux. O protocolo de cópia segura (SCP), que emprega o protocolo SSH, garante a criptografia, bem como a autenticação dos dados criptografados. Este processo é o mesmo usado pelo protocolo SFTP. No entanto, este envolve mais recursos do que apenas transferir arquivos. O SCP emprega a porta 22 TCP para garantir a transferência segura de arquivos.

O servidor Linux deve ter espaço extra para armazenar dados coletados durante as operações. Os administradores tendem a empregar sistemas isolados de arquivos na expansão de suas capacidades de servidor. Os servidores Linux geralmente estão conectados a servidores remotos para armazenar dados e usar uma parte do sistema de arquivos. Os sistemas de arquivos remotos são acessados ​​por meio de redes e os administradores de sistemas têm experiências semelhantes, como se os sistemas de arquivos remotos fossem criptografados no servidor Linux. A transferência de dados entre servidores e sistemas de arquivos isolados deve ser suficientemente protegida para não comprometer os dados transferidos. Recomenda-se que os administradores de sistemas usem o Secure Shell File System (SSHFS), que aprimora o emprego de sistemas isolados de arquivos em servidores Linux. O SSHFS emprega o link SSH para transferir dados com segurança em redes. Fundamentalmente, o SSHFS emprega o protocolo SFTP, que aprimora o gerenciamento de arquivos, o acesso seguro e a transferência de dados em sistemas de arquivos isolados (Klein, 2005).

O servidor Linux só pode ser protegido de forma eficaz através do administrador estar bem informado. Isso pode ser feito porque ele tem um fluxo consistente de informações confiáveis ​​sobre tendências de segurança que dizem respeito à distribuição pertinente do Linux, bem como pacotes de software instalados. Muitas vulnerabilidades foram encontradas ao longo do tempo em pacotes de software Linux e podem ser utilizadas por invasores em servidores comprometidos. Com as listas de discussão que lidam com os desafios de segurança no Linux, os administradores de distribuição podem agir prontamente por meio da atualização oportuna do sistema, bem como da eliminação de vulnerabilidades. Portanto, é essencial empregar listas de discussão seguras nas distribuições do Linux. Os administradores de informações reunidos podem decidir quando o sistema pode ser atualizado, bem como os pacotes de software que podem ser empregados nos servidores.

O gerenciador de pacotes Yum foi recomendado para as distribuições do apt get ou do Red Hat, pois garante a instalação eficiente, bem como a atualização de pacotes de software e dependências pertinentes. Também aprimora a exclusão efetiva de pacotes de software. Os gerenciadores de pacotes tendem a verificar repetidamente a assinatura digital de um pacote e evitar a instalação se esses pacotes tiverem assinaturas inválidas. Os administradores devem empregar os repositórios de software padrão que foram sugeridos pelos fornecedores. Pacotes de software também podem ser recuperados de vários repositórios, mas isso exige medidas extras de precaução. É prudente que os administradores verifiquem as novas versões dos pacotes antes de atualizá-los para avaliar sua estabilidade, bem como os possíveis desafios de segurança. As instalações só devem acontecer ao software que está ausente nos repositórios oficiais. Esses pacotes também podem ser obtidos de um número se repositórios, mas com cuidado extra. Pacotes de software não oficiais em uma face de teste não devem ser instalados em servidores Linux de produção (Ko, 2011).

A gravação de uma lista de pacotes instalados e de suas versões anteriores é considerada a melhor prática. Isto é assim porque o administrador seria capaz de acessar as últimas versões estáveis. Se novos pacotes forem uma ameaça à estabilidade do servidor, o administrador poderá obter as versões instaladas anteriormente e reinstalá-las. Os administradores podem configurar o sistema para fazer uma atualização automática dos pacotes de software, embora isso não seja normalmente recomendado. A melhor prática é fazer uma verificação mútua de cada atualização de pacotes.

O administrador também pode reunir os gerenciadores de pacotes para enviar notificações intermitentes de emails, onde ele pode listar todos os pacotes que podem ser atualizados pelo servidor. Após uma revisão desses pacotes, cabe ao administrador tomar uma decisão sobre a atualização separada de cada pacote. O envio interrompido de emails através do gerenciador de pacotes Yum pode tender a ser configurado no arquivo de configuração (Kruegel, 2003). É fundamental retomar o serviço atualizado do Yum ao fazer alterações no arquivo configurado. Os administradores que empregam distribuições Debian são elogiados na instalação, bem como o emprego do pacote apticron de software, a fim de garantir verificações de rotina na atualização de pacotes, bem como notificações por e-mail. No arquivo de configuração do software do pacote apticron, é prudente inserir o endereço de e-mail para o qual a notificação será enviada. No caso de o administrador ter experiência adequada na definição dos pacotes exigidos nos servidores, percebe-se uma prática refinada para criar um repositório local em tal rede. O repositório de versões conhecidas e estáveis ​​de pacotes pode ser gerado em um servidor Linux em que outros servidores de rede podem recuperar os pacotes. Tais soluções exigem verificações detalhadas de todos os pacotes antes de seu armazenamento em um repositório local.

Os servidores Linux tendem a realizar multitarefas oferecendo vários serviços em uma instância. Isso faz com que o servidor seja economicamente utilizado e a eficiência ideal. O administrador do sistema deve, no entanto, continuar observando a regra de ouro da segurança. Isso garante que o sistema seja tão seguro quanto os serviços altamente veneráveis ​​nele contidos. A solução perfeita é obtida quando cada servidor Linux oferece apenas um serviço para os usuários finais (Lane, 2010).

Há várias ferramentas que podem ser usadas para aumentar a segurança. Eles restringem o acesso não autorizado a tentativas mal-intencionadas, bem como serviços que poderiam conciliar o servidor Linux. O Linux possui várias ferramentas de segurança inerentes, por exemplo, o SELinux e o Netfilter. O Netfilter é uma função que normalmente intercepta e processa pacotes de redes. Isto pode ser encontrado em todos os sistemas Linux que possuem 2.4 e versões anteriores do kernel.

Um novo mecanismo para detectar ataques desconhecidos de Linux / IOS

As vulnerabilidades encontradas na Web fornecem consideráveis ​​porções de exposições de segurança de redes de computadores. Para garantir a detecção de ataques conhecidos que são encontrados nos sistemas de detecção indevidamente utilizados na Web, tendem a ser equipados com muitas assinaturas. No entanto, não é fácil ser aberto com a divulgação diária de vulnerabilidades relacionadas à web. Além disso, as vulnerabilidades podem ser introduzidas por meio de aplicativos da web especificados pela instalação. Isso significa que os sistemas de detecção de uso indevido devem ser auxiliados por aplicativos de detecção de anomalias (Lee, 2000).

Este artigo propõe um sistema de detecção de invasão que emprega um método distinto de detecção de anomalias na detecção de ataques desconhecidos de Linux / IOS. Esse sistema tende a avaliar várias consultas de clientes que têm uma referência para vários programas de servidor e gera modelos para uma ampla gama de recursos distintos para essas questões. Alguns desses recursos incluem os programas de avaliação do lado do servidor, bem como os valores de cada parâmetro em sua invocação. Particularmente, o emprego de atributos particulares de aplicação dos parâmetros invocados permeia o sistema para empreender uma avaliação concentrada e gerar um número minimizado de falsos positivos.

Esse sistema tende a derivar automaticamente os perfis de parâmetros vinculados a aplicativos da Web, por exemplo, seu comprimento, bem como sua estrutura e a associação entre as consultas. Isso significa que ele pode ser implementado em vários ambientes aplicáveis ​​sem a necessidade de ajuste ou configuração de tempo consumido. O aplicativo de detecção de anomalias apresentado neste documento tende a acomodar na forma de arquivos da Web de servidores da Web de entrada que têm conformidade com o Common Log Format (CLF) que gera uma pontuação anormal em natureza para cada solicitação da Web (Liberty, 2002).

De maneira mais concisa, os métodos de avaliação empregados por essa ferramenta aproveitam as consultas específicas da estrutura HTTP que possuem parâmetros. Tais padrões de acesso a consultas, bem como seus parâmetros, tendem a ser comparados com perfis instituídos que são específicos do programa ou de qualquer programa ativo na natureza que possa ser referenciado. Essa estratégia tende a melhorar uma avaliação altamente concentrada quando se trata dos métodos de detecção de anomalia genérica que não levam em conta programas específicos que são invocados.

A detecção de anomalias depende de modelos de comportamentos pretendidos pelos usuários, bem como de aplicativos, e tende a interpretar desvios do comportamento comum, conforme evidências de atividades maliciosas. A suposição é que os padrões de ataque tendem a diferir do comportamento comum. A detecção de anomalias pressupõe que a disparidade pode ser expressa de forma quantitativa e qualitativa. A estratégia de detecção proposta avalia as solicitações HTTP da mesma maneira que elas são registradas pelos servidores da Web mais comuns. A avaliação se concentra em solicitações que empregam parâmetros que transmitem valores a documentos ativos. Mais ainda, a entrada do processo de detecção é composta por um conjunto de URIs ordenados U = {u1, u2,. . . , um} e extraído de solicitações GET efetivas; seus códigos de retorno tendem a ser mais ou igual a 200, mas devem ser menores que 300 (Liljenstam, 2003).

O URI ui é expresso em termos de elementos do caminho de recurso desejado, um componente alternativo de informações de caminho (pinfoi), bem como uma sequência alternativa de consulta (q). A cadeia de consulta é empregada na passagem de parâmetros para recursos referenciados, onde é apontada pelos principais caracteres ''? ''. Uma cadeia de consulta é composta de listas ordenadas de n pares de atributos ao lado de seus valores análogos. Neste caso, q = (a1, v1), (a2, v2),. (an, vn) onde ai 2 A, é um conjunto de atributos enquanto vi é uma string.

O procedimento de avaliação concentra-se na relação entre valores, programas e parâmetros. URIs sem strings de consulta são consideradas irrelevantes e, portanto, expurgados de U. Além dos URIs, há a partição de U em subconjuntos Ur. Consequentemente, todos os programas referenciados r são atribuídos às consultas correspondentes Ur. O processo de detecção de anomalias emprega vários modelos distintos em um conjunto de vários modelos para indicar entradas anômalas. Pode-se dizer que um modelo é um conjunto de mecanismos empregados na avaliação de recursos de consulta específicos. Esse recurso pode estar associado a caracteres de consulta única (Lindqvist, 2001).

À luz da distribuição aproximada do recurso de consulta com os parâmetros le e r2, cabe à fase de detecção avaliar uma anomalia de parâmetro cujo comprimento seja l. Isso é feito através do cálculo da distância do comprimento l do valor médio da distribuição do comprimento. Isso pode ser expresso usando a desigualdade de Chebyshev. Apenas strings cujo comprimento excede u são percebidas como maliciosas. Isso é espelhado no cálculo de probabilidade, pois o limite superior das seqüências de caracteres é mais longo em comparação com a média e, portanto, relevante. A categorização de estratégias de detecção de intrusão em uso incorreto e baseado em anomalia tende a ser ortogonal em relação ao método específico empregado para atribuir ataques maliciosos ou comuns. Em alguns casos, as assinaturas são empregadas na especificação do comportamento projetado dos usuários (Mahoney, 2002).

Conclusão

Unknown Linux / IOS Attacks deve ser tratado usando ferramentas e técnicas que compreendem a precisão da exposição baseada em assinatura com o sistema de detecção de flexibilidade de intrusão baseado em anomalias. Este artigo propôs uma nova estratégia para a detecção de anomalias de ataques desconhecidos de Linux / IOS. Emprega como entrada as consultas HTTP que são compostas de parâmetros. É o sistema pioneiro de detecção de anomalias modificado para detectar Ataques Desconhecidos do Linux / IOS. Ele capitaliza as correlações especificadas pelo aplicativo entre os programas do servidor Linux e os parâmetros que são empregados em sua chamada. Idealmente, este aplicativo não requer configurações específicas de instalação. Ele também aprende seus atributos de consulta a partir do treinamento de dados. No entanto, o grau de sensibilidade com dados anômalos pode ser configurado por meio de limites que podem atender às várias políticas do site.

caso

Almgren, MH Debar, M. Dacier, (2000), Uma ferramenta leve para detectar ataques a servidores da Web, em: Anais do Simpósio ISOC em Segurança de Redes e Sistemas Distribuídos, San Diego, CA.

Denning DE, (2012), Um modelo de detecção de intrusão, Transações IEEE em Engenharia de Software 13 (2) 222 – 232.

Feng, HJ Giffin, Y. Huang, S. Jha, W. Lee, B. Miller, (2004). Formalização de sensibilidade em análise estática para detecção de intrusão, em: Anais do Simpósio IEEE de Segurança e PrivacidadeOakland, CA.

Forrest, S. (2010), Um sentido de auto para processos UNIX, em: Anais do Simpósio IEEE sobre Segurança e Privacidade, Oakland, CA, pp. 120 – 128.

Ghosh, AKJ Wanken, F. Charron, (2007), Detectando anomalias e intrusões desconhecidas contra programas, em: Anais da Conferência Anual de Aplicações de Segurança de Computadores (ACSAC_98), Scottsdale, pp. 259-267.

Ilgun, RA Kemmerer, PA Porras, K. (2011) Análise de transição de estado: um sistema de detecção de intrusão baseado em regras, Transações IEEE em Engenharia de Software 21 (3) 181 – 199.

Javitz, A. Valdes HS, (2010), O detector de anomalia estatística SRI IDES, em: Anais do IEEE Symposium on Securityand Privacy, Oakland, CA.

Klein D., (2005), Defesa contra o wilysurfer: ataques e defesas baseados na Web, em: Anais do Workshop USENIX sobre Detecção de Intrusão e Monitoramento de Rede, Santa Clara, CA.

Ko, CM Ruschitzka, K. Levitt, (2011), Execução de monitoramento de programas críticos de segurança em sistemas distribuídos: uma abordagem baseada em especificação, em: Anais do Simpósio IEEE sobre Segurança e Privacidade, Oakland, CA, pp. 175 – 187.

Kruegel, CD Mutz, WK Robertson, F. Valeur, (2003), Classificação de eventos bayesianos para detecção de intrusão, em: Anais da Conferência Anual de Aplicações de Segurança de Computadores (ACSAC 2003), Las Vegas, NV ,.

Lane, TCE Brodley, (2010), Aprendizado de seqüência temporal e redução de dados para detecção de anomalias, em: Anais da Conferência ACM sobre Segurança de Computadores e Comunicações, São Francisco, CA, ACM Press, Nova York, pp. 150-158.

Lee, WS Stolfo, (2000), Uma estrutura para a construção de recursos e modelos para sistemas de detecção de intrusão, transações do ACM em informações e segurança do sistema 3 (4) 227-261.

Liberty, DJ Hurwitz, (2002), Programação ASP.NET, O_Reilly, Sebastopol, CA.

Liljenstam, MD Nicol, V. Berk, R. Gray, (2003), Simulação de tráfego realístico de worm de rede para projeto e teste de sistemas de alerta de worms, em: Anais do ACM Workshop sobre Rapid Malcode, Washington, DC, pp. 24 – 33.

Lindqvist, M. Almgren, U. (2001), Coleta de dados integrada à aplicação para monitoramento de segurança, em: Procedimentos de avanços recentes em detecção de invasão (RAID), Davis, CA, outubro 2001, LNCS, Springer, pp. 22-36.

Mahoney, P. Chan, M. (2002), Aprendendo modelos não estacionários de tráfego de rede normal para detectar novos ataques, em: Anais da 8th Conferência Internacional sobre Descoberta de Conhecimento e Mineração de DadosEdmonton, Alberta, Canadá, pp. 376-385.

Paxson, V. (2008), Bro: um sistema para detectar intrusos de rede em tempo real, em: Anais do 7th USENIX Security SymposiumSan Antonio, TX.

fixar-se
anexos:
fileteDescriçãoTamanho do arquivo
Baixe este arquivo (a_new_mechanism_to_detect_unknown_linux_IOS_attacks.pdf)Um novo mecanismo para detectar ataques desconhecidos de Linux / IOSUm novo mecanismo para detectar ataques desconhecidos de Linux / IOS476 kB

Mais exemplos de escrita

Oferta Especial!
Use CUPOM: UREKA15 para diminuir o 15.0%.

Todos os novos pedidos em:

Escrever, reescrever e editar

Encomende Agora