Новый механизм для обнаружения неизвестных атак Linux / IOS
1 1 1 1 1 1 1 1 1 1 Рейтинг 5.00 (2 Голосов)

Введение

Генерация полезных нагрузок с использованием MetaSploit и MSF Venom

MSF Venom - это инструмент командной строки, который поможет команде тестирования генерировать отдельные полезные нагрузки для выполнения на уязвимых машинах и системах для удаленного доступа к системам. MSF Venom представляет собой комбинацию MSF Payload и MSF encode, которые поддерживают различные варианты тестирования уязвимостей системы. Некоторые из этих опций, предоставляемые MSF Venom, включают использование полезной нагрузки, которая описывает, как использовать пользовательские полезные нагрузки для тестов, перечисляет стандартные параметры различных полезных нагрузок, выделяет тип модуля, который может включать полезные нагрузки, кодировщики, определяет размер длины в полезной нагрузке, вывод формат, список доступных форматов (Almgren, 2000).

MSF Venom также требует от тестеров проникновения определить тип используемого кодера, архитектуру системы, платформу, на которой будет работать полезная нагрузка, максимальный размер результирующей полезной нагрузки, максимальный размер кодированной полезной нагрузки, список символов, которых следует избегать во время тесты, количество раз для кодирования полезной нагрузки, определяют настраиваемый исполняемый файл, который будет использоваться в качестве шаблона и сохранение поведения шаблона и внедрения полезной нагрузки. Ниже приведен снимок различных вариантов MSF Venom, доступных на этапе тестирования на проникновение.

Это язык, используемый для объяснения программы metaspoilt. Он может использовать любой язык по умолчанию.

Гипотеза: как ложноположительные и ложноотрицательные понятия могут быть использованы для определения чувствительности анализа в системах.

При разработке и запуске компьютерных систем и приложений важно защищать систему от любой киберугрозы. Анализ чувствительности - это сложное исследование неопределенностей в выходных данных компьютерной системы или приложения. Анализ чувствительности включает в себя тестирование различных допущений и тестов для определения уровня неопределенности и влияния переменной на выход системы (Denning, 2012).

Это исследование важно для определения надежности системы путем тестирования неопределенностей, улучшения понимания приложения или системы для выявления уязвимостей и сильных сторон системы или приложения. Анализ чувствительности также поможет группе разработчиков системы и приложений выявить неопределенности и уязвимости, что поможет группе разработчиков уменьшить эти неопределенности, ошибки и уязвимости. Это также помогает в определении частей входных данных модели, которые не влияют на выходные данные, таким образом, помогает в упрощении модели системы (Feng, 2004).

Исследование также поможет улучшить взаимодействие между командой разработчиков и лицами, принимающими решения, для обмена идеями и выработки рекомендаций по улучшению системы до ее публикации для общественности. В исследовании также определяются входные факторы и воздействия на выход системы для определения оптимальных измерений и чувствительных параметров в системе, которые могут влиять на конечную систему (Forrest, 2010).

Целью данной исследовательской работы является проверка системы на наличие неопределенностей и ошибок, чтобы уменьшить уязвимости, которые могут подвергнуть систему риску проникновения через киберугрозы. Некоторые из проверяемых атак включают неизвестные и известные атаки. Известные угрозы и атаки - это, в основном, атаки, хорошо идентифицируемые сигнатурами антивирусных ядер и систем обнаружения вторжений, а также черные списки репутации доменов. С другой стороны, неизвестные атаки являются новыми без зарегистрированной сигнатуры атаки и, таким образом, представляют более серьезную угрозу, поскольку их режим работы неизвестен (Ghosh, 2007).

В свете этого в статье будет рассмотрен вопрос о том, как использовать ложно-положительные и ложно-отрицательные понятия для проверки чувствительности. Ложное срабатывание, также называемое ложной тревогой, является результатом теста, который указывает, что данное условие было выполнено. Это ошибка типа I, которая проверяет единственное условие, например, наличие ошибок кода в системе с результатами, имеющими значение true или false. С другой стороны, ложноотрицательный результат - это тест, который показывает, что результаты в тестируемом состоянии не пройдены, но фактический результат успешен. Это ошибка типа II, при которой проверяется одно условие с положительным или отрицательным результатом (Ilgun, 2011).

Одним из приложений, которые будут использоваться в этом документе, является приложение MSF Venom и инструменты Metasploit для проведения тестов на проникновение в целевую систему или приложение. MSF Venom - это инструмент командной строки, который поможет разработчикам системы создавать автономные полезные данные в уязвимых системах для удаленного доступа к системе. Metasploit, с другой стороны, представляет собой инструмент тестирования, который позволяет тестировщикам проникновения приложений обходить антивирусные решения, что позволяет группе тестирования генерировать полезные нагрузки, тестировать сегментацию сети и повышать производительность и производительность системы путем предоставления отчетов о функциях системы и включения автоматических обновлений. В этой статье будут рассмотрены тесты на проникновение, которые будут проводиться для проверки уязвимостей в системах, выявления типов ошибок и атак и рекомендации способов повышения производительности системы и оптимизации производительности (Javitz, 2010).

Известные и неизвестные атаки

Известные кибератаки - это злонамеренные атаки на компьютерные системы и приложения, которые уже известны тестерам на проникновение и чья подпись уже была идентифицирована. Известные атаки начинаются как неизвестные и становятся известными только в том случае, если они были идентифицированы как вредоносные с помощью автоматического или ручного действия в лабораториях поставщиков и приписаны им подписи. В большинстве современных решений для динамического анализа используются сложные метрики для определения того, является ли созданная полезная нагрузка вредоносной, с помощью прогнозирующих алгоритмов, применяемых для характеристики активности полезной нагрузки (Klein, 2005).

Неизвестная атака - это просто новая атака без подписи. Разница между известной и неизвестной атакой - это разница во времени, так как со временем неизвестное становится известным. Файл злоумышленников будет просто распознан поисковыми системами как вредоносный, что создаст необходимость идентифицировать полезную нагрузку, которая неизвестна поисковой системе. Это будет включать покупку доступных поисковых систем и запуск вредоносных файлов до тех пор, пока хакер не найдет способ обойти поисковые системы и сделать вредоносный файл необнаружимым (Ko, 2011).

Разработка безопасных систем, способных противостоять кибератакам, не только сложна, но и очень сложна. В прошлом дизайнеры использовали для создания очень надежных замков путем размещения надежных механизмов безопасности вокруг своих систем. В недавнем прошлом дизайнеры изменились и теперь строят системы, которые все еще работают, несмотря на продолжающиеся атаки, используя эффективные методы. развивалась благодаря отказоустойчивости и надежности (Kruegel, 2003).

Мета-sploit

Концепция эксплойта обычно разбита на несколько элементов. Сначала это связано с уязвимостью. При подключении уязвимый код получает данные полезной нагрузки. Затем уязвимость используется полезной нагрузкой и создается компонент оболочки. В зависимости от типа передаваемой полезной нагрузки компонент оболочки может быть повторно подключен к обработчику, который обычно генерируется перед доставкой полезной нагрузки. После установления соединения оболочка может получать команды для извлечения информации с целевой машины. Он также может сделать расширение своей функциональности за счет доставки кода (Lane, 2010). Предлагая гибкость доставки различных видов полезных нагрузок оболочки, элементы эксплойта имеют тенденцию использовать общий интерфейс, предлагаемый элементом полезной нагрузки. Различные исполнения интерфейса полезной нагрузки предлагают дополнительные полезные нагрузки оболочки, которые, вероятно, будут распределены уязвимости. Обнаружение уязвимостей и разработка эксплойтов - это сложная задача, которая требует различных подходов и мотивации. Поскольку в средах Metaspolit при обнаружении уязвимостей присутствуют шипящие инструменты, существует много времени, в течение которого Metaspolit будет использоваться для использования известных уязвимостей, что является его основной функцией (Lee, 2000).

Необязательно, чтобы уязвимости присутствовали в сети, и, учитывая, что сети стали очень безопасными администраторами, и даже пользователи, которые не обучены, обычно являются целевым уязвимым элементом. После выявления уязвимых пользователей доставка эксплойтов может осуществляться с помощью фишинговых атак или лично с использованием завербованного инсайдера. Все элементы метамодели воспринимаются как фасады. Например, элементы подключения для общей структуры Metasploit имеют вызовы API, предлагаемые для установления соединений практически со всеми известными службами в ОС (Liberty, 2002).

Элементы полезной нагрузки предлагают структуру эксплойта с кодами, которые могут быть реализованы в случае успеха эксплойта. Однако обработчики не функционируют как полезные нагрузки, но по причинам выполнения они являются частью иерархии полезных нагрузок класса. Чтобы найти широкий детальный контроль над целевыми сетями, необходимо использовать полезные нагрузки, способные порождать серверные элементы на целевых машинах. Кроме того, их возможности должны иметь возможность расширяться всякий раз, когда это необходимо (Liljenstam, 2003).

Для получения такого рода функциональных возможностей необходимо включить протокол, а также команду стороны атакующего, а также элементы управления. Ряд этих элементов можно наблюдать в рамках Metasploit. Фасадные элементы пользовательского интерфейса предлагают интерфейсы, которые пронизывают злоумышленника, чтобы управлять тем, как ряд полезных нагрузок, а также обработчики могут быть присоединены к элементам эксплойта перед его запуском. Эти элементы фасада включают в себя менеджеры, контроллеры, прокси, представления, процессоры команд и команды. Элементы хранилища данных имеют интерфейсы, которые проникают в злоумышленника для хранения сведений о конфигурации атаки (Lindqvist, 2001).

Ошибка типа I и типа II

Ошибка типа 1 также упоминается как ложный положительный результат, так как она отклоняет нулевую гипотезу, даже когда она истинна. По сути, он принимает необязательную гипотезу, когда результаты подвержены случайности. Это имеет место при наблюдении различий там, где их нет. Ошибка типа II также называется ложным срабатыванием. Это так, потому что это имеет тенденцию отклонять нулевую гипотезу, когда дополнительная гипотеза считается истинным состоянием природы. Это ошибка, когда кто-то не принимает необязательную гипотезу из-за недостаточной власти. Это происходит, когда люди не видят различий, даже если они есть (Mahoney, 2002).

Проверка гипотезы - это процесс проверки, могут ли различия в двух выборочных распределениях быть объяснены случайным образом или нет. Если можно сделать выводы о том, что существует существенное значение, при котором два распределения различаются, необходимо принять надлежащие меры предосторожности, чтобы понять, что различия не являются случайной случайностью. Ошибки типа I не допускают необоснованной гипотезы, следовательно, люди принимают меры предосторожности, чтобы уменьшить вероятность возникновения. Обычно предпринимаются попытки установить ошибки Типа I как 0.05 или 0.01, когда существует только один или пять шансов из 100 возникновения явления в отношении степени значимости. Тем не менее, не гарантируется, что 0.05 или 0.01 встречаются достаточно редко, поэтому необходимо осторожно выбирать значимые уровни. Многократное тестирование, которое является вероятным приращением ошибок типа I, происходит всякий раз, когда есть повторное использование статистических ошибок (Paxson, 2008).

Новый механизм, который обнаруживает неизвестные атаки, чтобы сделать их известными

Невозможно создать систему устойчивости к вторжению, которая может существовать в течение значительного количества времени, не имея дело с неизвестными атаками, а также с ограниченными ресурсами отработки отказа. Целесообразно укрепить свою систему, чтобы оценить трудовой фактор противника. Однако время, необходимое для выявления новых уязвимостей в любой системе, а также для разработки ее эксплойта, может быть несколько большим (Almgren, 2000).

Для решительного оппонента это может быть как время, так и деньги. При развитии атаки требуется ограниченное время для выполнения. В большинстве случаев время создания простых вариантов атаки ограничено. В случае, если среда угроз устойчивой к вторжению системы влечет за собой злоумышленников с хорошими ресурсами, система должна быть в состоянии справиться с множеством неизвестных атак (Denning, 2012). Серверы Linux

Linux стал популярным выбором для операционных систем в серверной среде. Детальность, а также гибкость настроек, безопасность, высокая производительность и надежность - это ее преимущества по сравнению с другими системами. Учитывая инфраструктурные ограничения, многочисленные службы размещаются на одном сервере, что позволяет решить проблему защиты сервера Linux. Практика защиты сервера Linux не может быть разовым испытанием, скорее это постоянный механизм, который действует до тех пор, пока сервер используется. Целью является повышение безопасности и быстрое обнаружение проблем (Feng, 2004).

При установке сервера Linux очень важно отключить ненужные сервисы. Ненужные пакеты также должны быть удалены. Самая большая угроза для пакетов Linux связана с небезопасными программными пакетами, используемыми при выполнении ряда команд, которые поступают из удаленных мест. Они включают в себя команды R, такие как; rsh, rexec и rlogin. Эти программные пакеты, как правило, передают команды, имена пользователей и пароли через сети при отсутствии предыдущей записи. После перехвата трафика злоумышленник может увидеть информацию, которая может приостановить критическую проблему безопасности. Таким образом, требуется, чтобы эти пакеты были удалены с сервера Linux и использовать протоколы, которые используют зашифрованную связь, например, SSH.

Администратор сервера должен тщательно продумать, важно ли для ряда протоколов, например, для протокола передачи файлов и Telnet, наличие клиента, а также поддержка сервера. Важно, чтобы файлы с изолированных FTP-серверов загружались. Работа неиспользуемого FTP-сервера является критической угрозой для серверов Linux (Forrest, 2010).

Администратор серверов Linux должен установить операционную систему Linux, которая предлагает защищенную передачу файлов для улучшения обновления пакета, а также применения соответствующих исправлений. Все данные, которые проходят через эти сети, должны быть зашифрованы администратором, если это возможно. Администраторы систем использовали SSH, а также протоколы Telnet для удаленного доступа к серверу Linux.

Тем не менее, Telnet теперь абсолютен, потому что он никогда не шифрует данные, которыми обменивается с серверами, и это включает в себя учетные данные пользователей. Любой человек в этой сети между администратором компьютера и сервером связи способен перехватывать пакеты и обладать учетными данными пользователя, таким образом получая полный контроль над сервером. Протокол SSH, таким образом, предпочтительнее протокола Telnet по этим причинам.

Протокол SSH обеспечивает защиту связи на сервере посредством предоставления асимметричной фундаментальной криптографии. Связь между серверами SSH и клиентами имеет тенденцию быть зашифрованной и необъяснимой для третьих лиц, которые могут перехватывать обменяемые пакеты. Аутентификация сервера SSH может быть достигнута посредством зашифрованной передачи учетных данных пользователя. Этого также можно избежать, используя вручную созданные асимметричные ключи, где нет необходимости использовать пароли (Ghosh, 2007).

Если аутентификация выполняется с помощью ключей, которые генерируются вручную без передачи паролей, ключ аутентификации должен быть в устройстве, которое может получить доступ к серверу Linux. Использование учетных данных пользователя крайне важно для администраторов при входе на сервер, где для изолированного входа на сервер используются отдельные компьютеры. Для связи и согласованной аутентификации между двумя серверами Linux очень важно использовать асимметричные ключи, созданные вручную. Это так, потому что есть постоянные участники этого общения, что позволяет избежать требования записи паролей на файлы.

Безопасные каналы связи

Если существует необходимость в передаче файлов между серверами Linux и удаленными компьютерами, это следует делать через безопасные каналы связи. Протокол FTP очень популярен для передачи файлов. Тем не менее, он сталкивается с аналогичными рисками безопасности, как и протокол Telnet. Поэтому рекомендуется использовать такие параметры безопасности, как SCP, FTPS или SFTP. Протокол защищенной передачи файлов (SFTP) имеет тенденцию устанавливать защищенную и зашифрованную связь с использованием удаленных устройств, чтобы улучшить доступ к файлам, их передачу и управление ими. Этот протокол также использует SSH-туннель для манипулирования файлами на изолированных серверах (Ilgun, 2011).

Протокол передачи файлов (FTPS) происходит от FTP, основанной на безопасности транспортного уровня (TLS), а также на уровне безопасных сокетов (SSL), которые улучшают безопасную передачу данных. FTPS очень похож на протокол HTTPS и требует цифровой сертификат на серверах. Принимая во внимание, что другие участники связи должны доверять цифровому сертификату подключенного сервера, это может привести к возникновению проблем при выполнении всего решения. Если возможность передачи используется как для системных нужд, так и для целей администрирования сервера, необходимо, чтобы протокол SFTP использовался, учитывая, что он предоставляет множество альтернатив управления файлами (Javitz, 2010).

В случае, если файлы передаются с сервера Linux как услуга для его конечных пользователей, рекомендуется использовать протокол FTPS, поскольку он улучшает аутентификацию сервера с использованием цифровых сертификатов. FTPS имеет тенденцию использовать UDP или TCP 990, а также порты 989 для установления соединений и передачи файлов. Таким образом, важно, чтобы эти порты оставались открытыми на серверах Linux. Протокол защищенного копирования (SCP), который использует протокол SSH, гарантирует шифрование, а также аутентификацию зашифрованных данных. Этот процесс такой же, как и используемый протоколом SFTP. Тем не менее, этот включает в себя больше возможностей, чем просто передача файлов. SCP использует порт 22 TCP, чтобы гарантировать безопасную передачу файлов.

На сервере Linux должно быть дополнительное пространство для хранения данных, собранных во время операций. Администраторы, как правило, используют изолированные системы файлов для расширения возможностей своих серверов. Серверы Linux обычно подключаются к удаленным серверам для хранения данных и использования части файловой системы. Доступ к удаленным файловым системам осуществляется через сети, и системные администраторы имеют аналогичные возможности, как если бы удаленные файловые системы были зашифрованы на сервере Linux. Передача данных между серверами и изолированными файловыми системами должна быть в достаточной степени защищена, чтобы не подвергать риску передаваемые данные. Рекомендуется, чтобы системные администраторы использовали файловую систему Secure Shell (SSHFS), которая расширяет возможности использования изолированных систем файлов на серверах Linux. SSHFS использует канал SSH для безопасной передачи данных в сети. В основном SSHFS использует протокол SFTP, который улучшает управление файлами, безопасный доступ, а также передачу данных в изолированных файловых системах (Klein, 2005).

Сервер Linux может быть эффективно защищен только благодаря хорошей информированности администратора. Это можно сделать, если у него есть постоянный поток достоверной информации о тенденциях безопасности, касающихся соответствующего дистрибутива Linux, а также установленных пакетов программного обеспечения. Со временем было обнаружено много уязвимостей в пакетах программного обеспечения Linux, и они могут быть использованы злоумышленниками при взломе серверов. С учетом списков рассылки, которые решают проблемы безопасности в дистрибутивах Linux, администраторы могут оперативно действовать путем своевременного обновления системы, а также устранения уязвимостей. Поэтому крайне важно использовать безопасные списки рассылки в дистрибутивах Linux. Основываясь на собранной информации, администраторы могли решить, когда система может быть обновлена, а также пакеты программного обеспечения, которые могут быть использованы на серверах.

Менеджер пакетов Yum рекомендован для дистрибутивов apt get или Red Hat, поскольку он гарантирует эффективную установку, а также обновление пакетов программного обеспечения и соответствующих зависимостей. Это также повышает эффективность удаления пакетов программного обеспечения. Менеджеры пакетов имеют тенденцию неоднократно проверять цифровую подпись пакета и избегать установки, если такие пакеты имеют недопустимые подписи. Администраторы должны использовать стандартные репозитории программного обеспечения, которые были предложены поставщиками. Пакеты программного обеспечения также могут быть получены из нескольких хранилищ, но это требует дополнительных мер предосторожности. Администраторам целесообразно проверять новые версии пакетов перед их обновлением, чтобы оценить их стабильность, а также возможные проблемы с безопасностью. Инсталляции должны происходить только с программным обеспечением, которое отсутствует в официальных репозиториях. Эти пакеты также могут быть получены из ряда хранилищ, но с особой осторожностью. Неофициальные программные пакеты в тестирующем лице не должны быть установлены на производственных серверах Linux (Ko, 2011).

Запись списка установленных пакетов, а также их прошлых версий считается лучшей практикой. Это так, потому что администратор сможет получить доступ к последним стабильным версиям. Если новые пакеты представляют угрозу для стабильности сервера, администратор может получить ранее установленные версии и переустановить их. Администраторы могут настроить систему на автоматическое обновление пакетов программного обеспечения, хотя это обычно не рекомендуется. Лучше всего проводить взаимную проверку каждого обновления пакетов.

Администратор может также собрать менеджеров пакетов для отправки периодических уведомлений по электронной почте, где он может перечислить все пакеты, которые могут быть обновлены сервером. После проверки этих пакетов администратор принимает решение об отдельном обновлении каждого пакета. Прерванная отправка писем через менеджер пакетов Yum может быть настроена в файле конфигурации (Kruegel, 2003). Очень важно возобновить обновленную службу Yum после внесения изменений в настроенный файл. Администраторам, использующим дистрибутивы Debian, рекомендуется при установке, а также использование пакета программного обеспечения apticron, чтобы гарантировать регулярные проверки обновлений пакетов и уведомлений по электронной почте. В файле конфигурации программного обеспечения apticron целесообразно ввести адрес электронной почты, на который будет отправлено уведомление. Если администратор имеет достаточный опыт в определении пакетов, требуемых на серверах, это считается утонченной практикой создания локального хранилища в такой сети. Хранилище как известных, так и стабильных версий пакетов может быть создано на одном сервере Linux, где другие сетевые серверы могут получать пакеты. Такие решения требуют подробных проверок всех пакетов перед их хранением в локальном хранилище.

Серверы Linux имеют тенденцию к многозадачности, предлагая несколько сервисов в одном экземпляре. Это приводит к экономичному использованию сервера и оптимальной эффективности. Однако системный администратор должен продолжать соблюдать золотое правило безопасности. Это гарантирует, что система так же безопасна, как и весьма почтенные услуги в ней. Идеальное решение получается, когда каждый сервер Linux предлагает только один сервис конечным пользователям (Lane, 2010).

Существует ряд инструментов, которые можно использовать для повышения безопасности. Они ограничивают несанкционированный доступ к вредоносным попыткам, а также службам, которые могут примирить сервер Linux. В Linux есть несколько встроенных инструментов безопасности, например SELinux и Netfilter. Netfilter - это функция, которая обычно перехватывает и обрабатывает пакеты сетей. Это можно найти практически во всех системах Linux, которые имеют 2.4 и более поздние версии ядра.

Новый механизм для обнаружения неизвестных атак Linux / IOS

Обнаруженные в сети уязвимости обеспечивают значительную часть рисков для безопасности компьютерных сетей. Чтобы гарантировать обнаружение известных атак, обнаруженных в сети, системы обнаружения злоупотреблений, как правило, снабжены множеством подписей. Однако нелегко быть в курсе повседневных проблем, связанных с Интернетом. Кроме того, уязвимости могут быть внедрены путем установки указанных веб-приложений. Это означает, что системам обнаружения злоупотреблений должны помогать приложения обнаружения неисправностей (Lee, 2000).

В этой статье предлагается система обнаружения вторжений, которая использует особый метод обнаружения аномалий при обнаружении неизвестных атак Linux / IOS. Эта система имеет тенденцию оценивать различные клиентские запросы, которые имеют ссылку на ряд серверных программ, и генерирует модели для широкого спектра различных функций для этих вопросов. Некоторые из этих функций включают в себя программы оценки стороны обслуживания, а также значения для каждого параметра в его вызове. В частности, применение специфических атрибутов приложения вызванных параметров проникает в систему, чтобы проводить концентрированную оценку и генерировать минимизированное количество ложных срабатываний.

Эта система имеет тенденцию автоматически получать профили параметров, которые связаны с веб-приложениями, например их длину, а также их структуру и связь между запросами. Это означает, что он может быть развернут в различных применимых средах без необходимости затрат времени на настройку или настройку. Приложение обнаружения аномалий, представленное в этом документе, имеет тенденцию размещать в виде входных веб-серверов веб-файлы, которые соответствуют общему формату журнала (CLF), которые генерируют оценку, которая является аномальной по природе для каждого веб-запроса (Liberty, 2002).

Более кратко, методы оценки, используемые этим инструментом, основаны на конкретных запросах структуры HTTP, которые имеют параметры. Такие шаблоны доступа к запросам, а также их параметры, как правило, сравнивают с установленными профилями, которые являются специфическими для программы или любой активной по своей природе программы, на которую можно ссылаться. Эта стратегия имеет тенденцию усиливать высококонцентрированную оценку, когда речь идет о методах обнаружения общих аномалий, которые не учитывают конкретные вызываемые программы.

Обнаружение аномалий зависит от моделей поведения пользователей, а также от приложений, и имеет тенденцию интерпретировать отклонения от обычного поведения как доказательства злонамеренных действий. Предполагается, что модели нападения, как правило, отличаются от обычного поведения. Обнаружение аномалии предполагает, что несоответствие может быть выражено как количественно, так и качественно. Предложенная стратегия обнаружения оценивает HTTP-запросы так же, как они регистрируются большинством обычных веб-серверов. Оценка концентрируется на запросах, которые используют параметры, которые передают значения в активные документы. Более того, входные данные процесса обнаружения состоят из набора URI, упорядоченных по U = {u1, u2,. , , и извлечены из действующих запросов GET; их возвратные коды имеют тенденцию быть больше или равными 200, но должны быть меньше, чем 300 (Liljenstam, 2003).

URI ui выражается через элементы требуемого пути к ресурсу, альтернативный компонент информации о пути (pinfoi), а также альтернативную строку запроса (q). Строка запроса используется при передаче параметров ссылочным ресурсам, на которые указывают ведущие символы «?». Строка запроса состоит из упорядоченных списков из n пар атрибутов вместе с их аналогичными значениями. В этом случае q = (a1, v1), (a2, v2),. (an, vn), где ai 2 A, - это набор атрибутов, а vi - строка.

Процедура оценки концентрируется на взаимосвязи между ценностями, программами и параметрами. URI, в которых отсутствуют строки запроса, считаются неактуальными и, следовательно, исключаются из U. Помимо URI существует разделение U на подмножества Ur. Следовательно, всем ссылочным программам r назначены соответствующие запросы Ur. Процесс обнаружения аномалий использует несколько различных моделей в наборе различных моделей, чтобы указать на аномальные записи. Можно сказать, что модель представляет собой набор механизмов, используемых при оценке конкретных характеристик запросов. Эта функция может быть связана с одиночными символами запроса (Lindqvist, 2001).

В свете приблизительного распределения характеристик запроса длины с параметрами l и r2, до фазы обнаружения необходимо оценить аномалию параметра, длина которой равна l. Это делается путем вычисления длины l расстояния от u среднего значения распределения длины. Это можно выразить с помощью неравенства Чебышева. Только строки, длина которых превышает u, воспринимаются как вредоносные. Это отражается в расчете вероятности, так как верхняя граница строк длиннее по сравнению со средним значением и, следовательно, актуальна. Классификация стратегий обнаружения вторжений на основе неправильного использования и на основе аномалий имеет тенденцию быть ортогональной по отношению к конкретному методу, используемому для выявления злонамеренных или обычных атак. В некоторых случаях подписи используются в спецификации прогнозируемого поведения пользователей (Mahoney, 2002).

Вывод

Неизвестные атаки Linux / IOS должны решаться с использованием инструментов и методов, которые включают в себя точность обнаружения, основанного на сигнатурах, с помощью системы обнаружения гибкости, основанной на аномалиях. В этой статье была предложена новая стратегия обнаружения аномалий неизвестных атак Linux / IOS. Он использует в качестве входных HTTP-запросов, которые состоят из параметров. Это первая система обнаружения аномалий, модифицированная для обнаружения неизвестных атак Linux / IOS. Он использует указанные приложением корреляции между программами сервера Linux и параметрами, которые используются при их вызове. В идеале это приложение не требует установки каких-либо конкретных конфигураций. Он также изучает свои атрибуты запроса из обучения данных. Однако степень его чувствительности к аномальным данным может быть настроена через пороговые значения, которые могут соответствовать различным политикам сайта.

дело

Almgren, MH Debar, M. Dacier, (2000), Облегченный инструмент для обнаружения атак на веб-серверы: Материалы симпозиума ISOC по безопасности сетей и распределенных систем, Сан-Диего, Калифорния.

Деннинг Д.Е., (2012), Модель обнаружения вторжений, IEEE Транзакции по разработке программного обеспечения 13 (2) 222 – 232.

Feng, HJ Giffin, Y. Huang, S. Jha, W. Lee, B. Miller, (2004). Формализация чувствительности в статическом анализе для обнаружения вторжений, в: Материалы симпозиума IEEE по безопасности и конфиденциальности, Окленд, Калифорния ,.

Форрест С. (2010), Ощущение себя за процессами UNIX, в: Материалы симпозиума IEEE по безопасности и конфиденциальности, Окленд, CA, стр. 120 – 128.

Гош, AKJ Wanken, Ф. Чаррон, (2007), Обнаружение аномальных и неизвестных вторжений в программы: Материалы ежегодной конференции по компьютерной безопасности (ACSAC_98), Скоттсдейл, , стр. 259 – 267.

Ильгун, Р.А. Кеммерер, П.А. Поррас, К. (2011) Анализ переходов между состояниями: система обнаружения вторжений на основе правил, IEEE Сделки по разработке программного обеспечения 21 (3) 181 – 199.

Javitz, A. Valdes HS, (2010), Детектор статистических аномалий SRI IDES: Материалы симпозиума IEEE по безопасности и конфиденциальности, Окленд, Калифорния ,.

Кляйн Д., (2005), Защита от wilysurfer: веб-атаки и защиты, в: Материалы семинара USENIX по обнаружению вторжений и мониторингу сети, Санта-Клара, Калифорния ,.

Ko, CM Ruschitzka, К. Левитт, (2011), Мониторинг выполнения критически важных для безопасности программ в распределенных системах: подход, основанный на спецификациях, в: Материалы симпозиума IEEE по безопасности и конфиденциальности, Окленд, Калифорния, стр. 175 – 187.

Kruegel, CD Mutz, WK Robertson, F. Valeur, (2003), Байесовская классификация событий для обнаружения вторжений, в: Материалы ежегодной конференции по компьютерной безопасности (ACSAC 2003), Лас-Вегас, Невада.

Лейн, TCE Brodley, (2010), Обучение временной последовательности и сокращение данных для обнаружения аномалий, в: Материалы конференции ACM по безопасности компьютеров и связи, Сан-Франциско, Калифорния, ACM Press, Нью-Йорк, стр. 150 – 158.

Lee, WS Stolfo, (2000), Основа для конструирования функций и моделей для систем обнаружения вторжений, транзакций ACM в области информации и безопасности системы 3 (4) 227 – 261.

Liberty, DJ Hurwitz, (2002), Программирование ASP.NET, O_Reilly, Севастополь, CA.

Liljenstam, MD Nicol, V. Berk, R. Grey, (2003), Моделирование реалистичного сетевого червевого трафика для проектирования и тестирования системы предупреждения о червях: Материалы семинара ACM по быстрому вредоносному коду, Вашингтон, округ Колумбия, стр. 24 – 33.

Линдквист, М. Алмгрен, У. (2001), Интегрированный в приложения сбор данных для мониторинга безопасности, в разделе: Последние достижения в области обнаружения вторжений (RAID), Дэвис, Калифорния, октябрь 2001, LNCS, Springer,, стр. 22 – 36.

Махони, П. Чан, М. (2002), Изучение нестационарных моделей нормального сетевого трафика для обнаружения новых атак, в: Материалы 8-й Международной конференции по обнаружению знаний и интеллектуальному анализу данных, Эдмонтон, Альберта, Канада, стр. 376 – 385.

Паксон, В. (2008), Bro: система для обнаружения сетевых злоумышленников в режиме реального времени, в: Материалы 7th USENIX Security SymposiumСан-Антонио, Техас

Вложения:
филеОписаниеРазмер файла
Скачать этот файл (a_new_mechanism_to_detect_unknown_linux_IOS_attacks.pdf)Новый механизм для обнаружения неизвестных атак Linux / IOSНовый механизм для обнаружения неизвестных атак Linux / IOS476 XNUMX

Больше образцов письма

Специальное предложение!
использование КУПОН: UREKA15 для удаления 15.0%.

Все новые заказы на:

Написание, переписать и редактировать

Заказать