En ny mekanism för att upptäcka okända Linux / IOS-attacker
1 1 1 1 1 1 1 1 1 1 Betyg 5.00 (2 röster)

Introduktion

Generera nyttolast med MetaSploit och MSF Venom

MSF Venom är ett kommandoradsverktyg som hjälper testteamet att generera fristående nyttolaster att utföra på sårbara maskiner och system för att fjärråtkomst till systemen. MSF Venom är en kombination av MSF Payload och MSF kod som stöder olika alternativ för att testa systemets sårbarheter. Några av dessa alternativ som användes av MSF Venom inkluderar nyttolastanvändning som beskriver hur man använder anpassade nyttolaster för testen, listar de olika nyttolasternas standardalternativ, skisserar modultypen som kan innefatta nyttolast, kodare, bestäm längdstorleken på nyttolast, utdata format, lista de tillgängliga formaten (Almgren, 2000).

MSF Venom kräver också penetrationstestare för att bestämma vilken typ av kodare som ska användas, systemarkitekturen, plattformen där nyttolasten ska fungera, den maximala storleken på den resulterande nyttolasten, den maximala storleken på den kodade nyttolasten, en lista med tecken som ska undvikas under testerna, antalet gånger för att koda nyttolasten, ange en anpassad körbar fil som ska användas som mall och bevara mallbeteende och nyttolastinsprutning. Nedan är en stillbild av MSF Venom olika alternativ tillgängliga för penetrationstestfasen.

Detta är ett språk som används för att förklara metaspoiltprogrammet. Det kan använda vilket språk som helst som standardspråk.

Hypotes: Hur falska positiva och falska negativa koncept kan användas för att bestämma känslighetsanalys i system.

Det är viktigt att skydda och skydda systemet från alla cyberbaserade hot när man utvecklar och kör datorsystem och applikationer. En känslighetsanalys är en komplex studie av osäkerheter i utmatningen av ett datorsystem eller applikation. Känslighetsanalys innefattar testning av olika antaganden och test för att bestämma osäkerhetsnivån och effekten av en variabel på systemutmatningen (Denning, 2012).

Denna studie är viktig för att bestämma systemets robusthet genom att testa osäkerheter, öka förståelsen för applikationen eller systemet för att identifiera sårbarheter och styrkor i systemet eller applikationen. Känslighetsanalys hjälper också system- och applikationsutvecklingsgruppen att identifiera osäkerheter och sårbarheter, vilket hjälper utvecklingsgruppen att minska dessa osäkerheter, fel och sårbarheter. Det hjälper också att identifiera delar av modellinmatningen som inte påverkar utmatningen, vilket hjälper till att förenkla systemmodellen (Feng, 2004).

Studien kommer också att bidra till att förbättra kommunikationen mellan utvecklingslaget och beslutsfattarna att utbyta idéer och göra rekommendationer för att förbättra systemet innan det släpps ut till allmänheten. Studien identifierar också inmatningsfaktorer och effekter på systemutmatningen för att bestämma optimala mätningar och känsliga parametrar inom systemet som kan påverka det slutliga systemet (Forrest, 2010).

Syftet med detta forskningspapir är att testa ett system för osäkerhet och fel för att minska sårbarheter som kan utsätta systemet för att bryta mot cyberhot. Några av de attacker som ska testas inkluderar okända och kända attacker. Kända hot och attacker är i grunden attacker som är väl identifierade av signaturer på antivirus- och intrångsdetekteringssystemmotorer och domännamnets svartlistor. Okända attacker å andra sidan är nya utan inspelad attack signatur och utgör därmed ett allvarligare hot eftersom deras funktionssätt är okänt (Ghosh, 2007).

Mot bakgrund av detta kommer undersökningen att undersöka hur man använder de falska positiva och falska negativa koncepten för att testa för känslighetsanalys. Ett falskt positivt kallat också ett falskt larm är ett testresultat som indikerar att ett givet tillstånd har uppfyllts. Detta är ett typ I-fel som kontrollerar ett enda villkor, t.ex. närvaron av kodfel i systemet med resultaten antingen true eller false. Den falska negativa å andra sidan är ett test som indikerar att resultaten i det tillstånd som testas misslyckades ändå är det faktiska resultatet lyckat. Detta är ett typ II-fel där ett enda tillstånd testas med resultatet antingen positivt eller negativt (Ilgun, 2011).

En av applikationerna som ska användas i detta dokument är MSF Venom-applikationen och Metasploit-verktyg för att utföra penetrationstester på målsystemet eller applikationen. MSF Venom är ett kommandoradsverktyg som hjälper systemutvecklarna att generera fristående nyttolaster på sårbara system för att få fjärråtkomst till systemet. Metasploit är å andra sidan ett testverktyg som gör det möjligt för applikationspenetrationstestare att kringgå antiviruslösningar som gör att testteamet kan generera nyttolaster, testa nätverkssegmentering och öka systemets prestanda och produktivitet genom att rapportera systemfunktioner och möjliggöra automatiska uppdateringar. Denna artikel kommer att granska penetrationstester som ska utföras för att testa för sårbarheter i systemen, identifiera typer av fel och attacker och rekommendera sätt att förbättra systemets produktivitet och optimera produktiviteten (Javitz, 2010).

Kända och okända attacker

Kända cyberattacker är skadliga attacker på datorsystem och applikationer som redan är kända för penetrationstestare och vars underskrift redan har identifierats. Kända attacker börjar som okända och blir kända endast när de har identifierats som skadliga genom automatisk eller manuellt i leverantörslaboratorier och en signatur tilldelad dem. De flesta av de nuvarande dynamiska analyslösningarna använder sofistikerade mätvärden för att upptäcka om en genererad nyttolast är skadlig med prediktiva algoritmer som används för att karakterisera nyttolastaktiviteten (Klein, 2005).

Den okända attacken är bara en ny attack utan en signatur. Skillnaden mellan en känd och okänd attack är en tidsskillnad, eftersom det okända blir känt med tiden. Attackerfilen kommer helt enkelt att erkännas av sökmotorer som skadlig och därigenom skapa behovet av att identifiera en nyttolast som är okänd för sökmotorn. Detta kommer att innebära inköp av tillgängliga sökmotorer och köra skadliga filer tills en hacker finner ett sätt att kringgå sökmotorerna och göra den skadliga filen odetekterbar (Ko, 2011).

Utformningen av säkra system som kan motstå cyberattacker är inte bara svårt men väldigt komplext. Tidigare har designers brukade konstruera låser som är mycket starka genom att placera starka säkerhetsmekanismer kring sina system. Under senare tid har konstruktörer förändrats och bygger nu system som fortfarande är i drift trots fortsatt angrepp genom att utnyttja tekniker som är bra utvecklad genom fel tolerans samt pålitlighet (Kruegel, 2003).

Meta-sploit

Utnyttjandekonceptet är vanligtvis uppdelat i flera delar. Det kopplas först till sårbarhet. Vid anslutning till den sårbara koden får nyttolastdata. Sårbarheten utnyttjas sedan av nyttolasten och en skalform av komponent skapas. Beroende på vilken typ av transporterad nyttolast, kan komponenten i skalet anslutas till hanteraren som vanligtvis genereras innan nyttolasten levereras. Vid upprättandet av anslutningen kan skalet ta emot kommandon för att extrahera information från den riktade maskinen. Det kan också göra en utvidgning av dess funktionalitet genom leverans av koden (Lane, 2010). Genom att erbjuda flexibiliteten i leveransen av olika typer av nyttolast på skal tenderar exploateringselementen att använda det generiska gränssnittet som erbjuds av nyttolastelementet. De olika exekveringarna av nyttolastgränssnittet erbjuder valfria skalbelastningar som troligen kommer att distribueras till sårbarheten. Upptäckten av sårbarheter och utvecklingen av exploater är en utmanande uppgift som kräver olika tankesätt och motivation. Så mycket som fizzing verktyg finns i Metaspolit ramar för att upptäcka sårbarheter finns det mycket tid där Metaspolit kommer att användas för att utnyttja kända sårbarheter som är dess primära funktion (Lee, 2000).

Det är inte ett måste för sårbarheter att vara närvarande i nätverket och med tanke på att nätverk har blivit mycket säkra administratörer och till och med användare som inte är utbildade är vanligtvis det riktade sårbara elementet. Vid identifiering av utsatta användare kan leverans av exploatering ske genom phishing-attacker eller personligen genom att använda en rekryterad insider. Alla metamodelelement uppfattas som fasader. Exempelvis har anslutningselementen för Metasploit ett generiskt ramverk API-samtal som erbjuds för att göra anslutningar med nästan alla kända tjänster på OS (Liberty, 2002).

Lastbelastningselementen erbjuder exploateringsramverket med koder som kan genomföras på framgång av ett utnyttjande. Hanterare fungerar dock inte som nyttolast, men av utföringsskäl ingår de i klassens nyttolasthierarki. För att hitta en omfattande detaljerad kontroll över riktade nätverk finns det ett behov av att använda nyttolast som kan tjäna server-typ av element på riktade maskiner. Dessutom måste deras kapacitet kunna förlängas när det behövs (Liljenstam, 2003).

För att få denna typ av funktionalitet finns det ett behov av att införliva protokoll såväl som angriparens sidokommando samt hanteringselement. Ett antal av dessa element kan observeras i Metasploit-ramverket. UI: s fasadelement erbjuder gränssnitt som genomsyrar angriparen för att hantera hur ett antal nyttolaster såväl som hanterare kan kopplas till exploateringselementen före lanseringen. Dessa fasadelement inkluderar chefer, kontrollörer, proxyer, vyer, kommandoprocessorer och kommandon. Datalagringselement har gränssnitt som genomsyrar angriparen att lagra en attacks konfigurationsdetaljer (Lindqvist, 2001).

Typ I, och typ II-fel

Typ 1-felet benämns också den falska positiva det här är så eftersom det tenderar att avvisa nollhypotesen även när det är sant. Det accepterar i huvudsak en valfri hypotes när resultaten utsätts för chans. Det tenderar att hända när man observerar skillnader där det inte finns någon. Typ Il-felet kallas också falskt positivt. Detta beror på att det tenderar att avvisa nollhypotesen när den valfria hypotesen anses vara naturens sanna tillstånd. Det är ett fel där man inte accepterar en valfri hypotes på grund av att den är otillräcklig vid makten. Det händer när individer misslyckas med att observera skillnader trots att det kan finnas en (Mahoney, 2002).

Testet av hypotes är processen för att testa om skillnader i två provade fördelningar kan förklaras med slumpmässig chans eller inte. Om man kan dra slutsatser om att det finns ett meningsfullt sätt på vilket två fördelningar varierar måste det vara tillräcklig försiktighetsåtgärd för att inse att skillnaderna inte är av slumpmässig slump. Typ I-fel tillåter inte oberättigad hypotes, varför individer vidtar försiktighetsåtgärder för att minska risken för förekomst. Konventionellt görs försök att ställa in typ I-fel som 0.05 eller 0.01 där det bara finns en eller fem chanser utifrån100 för förekomsten av ett fenomen när det gäller graden av betydelse. Det garanteras emellertid inte att 0.05 eller 0.01 är tillräckligt sällsynta, det finns därför ett behov av att försiktigt välja betydande nivåer. Flera tester, vilket är det troliga ökningen i typ I-fel, sker varje gång det upprepas användning av statistiska fel (Paxson, 2008).

Ny mekanism som upptäcker okända attacker för att göra dem kända

Det är inte möjligt att konstruera ett inkursionstoleranssystem som kan överleva under en meningsfull tid utan att hantera okända utmaningar och begränsade failover-resurser. Det är klokt att härda sitt system för att uppskatta motståndarens arbetsfaktor. Dock kan den tid som krävs för att identifiera nya sårbarheter i vilket system som helst och utvecklingen av dess utnyttjande vara på något sätt (Almgren, 2000).

För en motståndare som är bestämd kan det handla om både tid och pengar. Efter utvecklingen av en attack kräver det begränsad tid att utföras. I de flesta fall finns det begränsad tid för skapandet av enkla attackvarianter. Om hotmiljön för ett intrångstolerant system medför motståndare som har goda resurser bör systemet kunna hantera en hel del attacker som är okända (Denning, 2012). Linux-servrar

Linux har blivit ett populärt val för operativsystem i serverns miljö. Granulariteten samt smidighet av inställningar, säkerhet, hög prestanda och tillförlitlighet är dess fördelar jämfört med andra system. Med tanke på infrastrukturella begränsningar är många tjänster värd för en server och därmed inser utmaningen att hur Linux-servern skulle kunna skyddas. Linux-serverns skyddspraxis kan inte vara ett enstaka prov, utan det är en permanent mekanism som håller så länge servern används. Målet är att öka säkerheten och snabbt upptäcka utmaningar (Feng, 2004).

Vid installationen av Linux-servern är det viktigt att onödiga tjänster är inaktiverade. Oöverträffade paket bör också tas bort. Det största hotet mot Linux-paket beror på osäkra programvarupaket som används vid utförandet av ett antal kommandon som kommer från avlägsna platser. De inkluderar R-kommandon som; rsh, rexec och rlogin. Dessa mjukvarupaket tenderar att överföra kommandon, användarnamn och lösenord via nätverk i avsaknad av tidigare inspelning. Vid avlyssning av trafiken kan angriparen se den information som kan pausa en kritisk säkerhetsutmaning. Det krävs således att dessa paket tas bort från Linux-servern och använder protokoll som använder sig av krypterad kommunikation, till exempel SSH.

Administratören av servern bör göra försiktiga överväganden om det är avgörande för ett antal protokoll, till exempel File Transfer Protocol och Telnet, att ha klienten såväl som serverstödet. Det är viktigt att filer från isolerade FTP-servrar laddas ner. Att köra en FTP-server som inte används är ett kritiskt hot för Linux-servrar (Forrest, 2010).

Administratören av Linux-servrar måste inrätta Linux-operativsystem som erbjuder säker överföring av filer för att förbättra uppdateringen av paketet och tillämpningen av relevanta patchar. All information som går igenom dessa nätverk måste krypteras av administratören där det är möjligt. Systemadministratörer har använt SSH såväl som Telnet-protokollen i sin fjärråtkomst till Linux-servern.

Men Telnet är nu absolut eftersom det aldrig krypterar data som det utbyter med servrar och detta inkluderar användarens referenser. Varje person i detta nätverk mellan datoradministratören och den kommunicerande servern kan fånga paket och ha användaruppgifter och därmed få fullständig kontroll över servern. SSH-protokollet är således föredraget framför Telnet-protokollet av dessa skäl.

SSH-protokollet tillhandahåller kommunikationsskydd i servern genom tillhandahållande av asymmetrisk grundläggande kryptografi. Kommunikationen mellan SSH-servrar och klienter tenderar att vara krypterad och oförklarlig till tredje part som kan fånga upp utbytta paket. Autentiseringen av SSH-servern kan uppnås genom krypterad överföring av användaruppgifter. Detta kan också undvikas genom att använda manuellt skapade asymmetriska nycklar där det inte finns någon nödvändighet att använda lösenord (Ghosh, 2007).

Om autentiseringen görs av nycklar som genereras manuellt utan överföring av lösenord bör autentiseringsnyckeln vara den enhet som har åtkomst till Linux-servern. Användningen av användaruppgifter är avgörande för administratörer att logga in på servern där distinkta datorer används för isolerad inloggning på servern. För kommunikation och samordnad autentisering mellan två Linux-servrar är det viktigt att manuellt skapade asymmetriska nycklar används. Detta beror på att det finns permanenta parter i denna kommunikation och därmed undviker kravet på att skriva lösenord på filerna.

Säkra kanaler för kommunikation

Om det finns ett behov av överföring av filer mellan Linux-servrar och fjärrmaskiner bör det göras via säkra kommunikationskanaler. FTP-protokollet är mycket populärt för filöverföringar. Men det står inför liknande säkerhetsrisker precis som Telnet-protokollet. Därför rekommenderas säkra alternativ som SCP, FTPS eller SFTP. SFTP (Secure File Transfer Protocol) tenderar att etablera säker och krypterad kommunikation med hjälp av fjärrkonstruktioner för att förbättra åtkomst till, överföring och hantering av filer. Detta protokoll använder också en SSH-tunnel i manipulering av filer i isolerade servrar (Ilgun, 2011).

FTPS (File Transfer Protocol Secure File Transfer Protocol) härrör från FTP grundat på Transport Layer Security (TLS) samt Secure Sockets Layer (SSL) som förbättrar säker dataöverföring. FTPS är väldigt mycket samma som Hypertext Transfer Protocol Secure (HTTPS) protokollet och kräver ett digitalt certifikat på servrar. Med tanke på att andra parter i meddelandet borde lita på det monterade serverns digitala certifikat kan detta uppleva utmaningar vid genomförandet av hela lösningen. Om överföringsförmågan är anställd för systemets behov såväl som för serveradministration krävs att SFTP-protokollet används, eftersom det ger många alternativ för filhantering (Javitz, 2010).

Om filer överförs från Linux-servern som en tjänst för dess slutanvändare rekommenderas det att använda FTPS-protokollet eftersom det förbättrar autentiseringen av servern med hjälp av digitala certifikat. FTPS brukar använda UDP eller TCP 990 såväl som 989-portar för att upprätta anslutningar och överföra filer. Det är alltså avgörande för dessa portar att förbli öppna på Linux-servrar. Det säkra kopieringsprotokollet (SCP) som använder SSH-protokoll garanterar kryptering såväl som autentisering av data som är krypterade. Denna process är densamma som den som används av SFTP-protokollet. Men den här innebär fler möjligheter än att bara överföra filer. SCP använder porten 22 TCP för att garantera säker överföring av filer.

Linux-servern måste ha extra utrymme för att lagra data som samlats in under operationerna. Administratörer brukar använda isolerade filsystem för att utvidga sin serverkapacitet. Linux-servrar är vanligtvis anslutna till fjärrservrar för att lagra data och använda en del av filsystemet. Fjärrfilsystem nås via nätverk och systemadministratörer har liknande erfarenheter som om fjärrfilsystemen är krypterade på Linux-servern. Överföringen av data mellan servrar och isolerade filsystem bör vara tillräckligt säkra för att inte äventyra överförda data. Det rekommenderas att systemadministratörer använder sig av Secure Shell File System (SSHFS) som förbättrar anställningen av isolerade filsystem på Linux-servrar. SSHFS använder SSH-länken för att säkert överföra data i nätverk. I grund och botten använder SSHFS SFTP-protokollet som förbättrar filhantering, säker åtkomst och dataöverföring på isolerade filsystem (Klein, 2005).

Linux-delen kan endast skyddas effektivt genom att administratören är välinformerad. Detta kan göras genom att han har ett jämnt flöde av tillförlitlig information om säkerhetstrender som gäller relevant Linux-distribution samt installerade programvarupaket. Många sårbarheter har hittats över tid i Linux-programvarupaket och de kan användas av angripare i att kompromissa servrar. Med tanke på e-postlistor som hanterar säkerhetsutmaningar i Linux-distributionsadministratörer kan agera snabbt genom snabb uppdatering av systemet samt eliminering av sårbarheter. Det är alltså avgörande att använda säkra e-postlistor i Linux-distributioner. Grundat på insamlade informationsadministratörer kan besluta när systemet kan uppdateras samt programvarupaket som kan användas på servrarna.

Yum-pakethanteraren har rekommenderats för apt get eller Red Hat-distributioner för det garanterar effektiv installation samt uppdatering av programvarupaket och relevanta beroenden. Det förbättrar också effektiv borttagning av programvarupaket. Paketledare tenderar att upprepade gånger kontrollera paketets digitala signatur och undvika installation om sådana paket har ogiltiga signaturer. Administratörer måste anställa de standardprogramvarulager som har föreslagits av leverantörer. Programvarupaket kan också hämtas från flera förvar men detta kräver extra försiktighetsåtgärder. Det är försiktigt för administratörer att verifiera de nya versionerna av paketen innan de uppdateras för att bedöma deras stabilitet och eventuella säkerhetsutmaningar. Installationer bör bara hända med programvara som saknas i officiella förvar. Dessa paket kan också erhållas från ett nummer om förvar men med extra omsorg. Inofficiella mjukvarupaket i ett testande ansikte ska inte installeras på Linux-serverns produktion (Ko, 2011).

Inspelning av en lista över paket som installeras liksom deras tidigare versioner antas vara den bästa praxis. Detta beror på att administratören skulle kunna komma åt de senaste ständiga versionerna. Om nya paket är ett hot mot serverns stabilitet kan administratören hämta de tidigare installerade versionerna och installera dem igen. Administratörer kan ställa in systemet för automatisk uppdatering av programvarupaket, men det rekommenderas vanligtvis inte. Den bästa praxisen är att göra en ömsesidig verifiering av varje uppdatering av paket.

Administratören kan också sätta ihop paketansvariga för att skicka intermittenta meddelanden om e-postmeddelanden där han kan lista alla paket som kan uppdateras på servern. Vid en granskning av dessa paket ankommer det på administratören att fatta ett beslut om den separata uppdateringen av varje paket. Den avbrutna sändningen av e-postmeddelanden via Yum-pakethanteraren kan tenderar att konfigureras i konfigurationsfilen (Kruegel, 2003). Det är viktigt att återuppta den uppdaterade Yum-tjänsten när du gör ändringar i den konfigurerade filen. Administratörer som använder Debian-distributioner berömas såväl i installationen som i anställningen av apticron-programvarupaketet för att garantera rutinmässiga kontroller i uppdateringen av paketen och e-postmeddelanden. I konfigurationsfilen för paketprogramvaran apticron är det klokt att ange e-postadressen där meddelandet skickas. Om administratören har tillräckligt erfarenhet av att definiera paketen som krävs på servrarna uppfattas det som en förfinad praxis att komma med ett lokalt arkiv i ett sådant nätverk. Förvaret av kända såväl som stabila paketversioner kan genereras på en Linux-server där andra nätverksservrar kan hämta paketen. Sådana lösningar kräver detaljerade kontroller av alla paket innan de lagras i ett lokalt förvar.

Linux-servrar tenderar att multitask genom att erbjuda flera tjänster i ett fall. Detta leder till att servern används ekonomiskt såväl som optimal effektivitet. Systemadministratören måste dock fortsätta att följa säkerhetens gyllene regel. Detta säkerställer att systemet är lika säkert som de mycket värdiga tjänsterna i det. Den perfekta lösningen erhålls när varje Linux-server endast erbjuder en tjänst till slutanvändarna (Lane, 2010).

Det finns ett antal verktyg som kan användas för att förbättra säkerheten. De begränsar obehörig tillgång till skadliga försök samt tjänster som kan förena Linux-servern. Linux har flera inneboende säkerhetsverktyg till exempel SELinux och Netfilter. Netfilter är en funktion som vanligtvis avlyser såväl processer som paket av nätverk. Detta kan hittas i ungefär alla Linux-system som har 2.4 och över versioner av kärnan.

En ny mekanism för att upptäcka okända Linux / IOS-attacker

Webbgrundade sårbarheter ger betydande delar av datornätverkens säkerhetsexponeringar. För att garantera upptäckt av kända attacker som finns i webben missbrukas detekteringssystem tenderar att vara utrustade med många signaturer. Det är emellertid inte lätt att vara uppdaterad från dag till dag att avslöja sårbarheter som är webbrelaterade. Bortsett från att sårbarheter kan införas genom installationsspecificerade webbaserade applikationer. Detta innebär att system för missbruk av upptäckt bör stöttas av anomalt detektivapplikationer (Lee, 2000).

I det här dokumentet föreslås ett intrångsdetektivsystem som använder en särskild anomalitetsdetekteringsmetod vid upptäckt av okända Linux / IOS-attacker. Detta system tenderar att utvärdera olika klientfrågor som har en referens för ett antal serverns program och genererar modeller för ett brett spektrum av olika egenskaper för dessa frågor. Några av dessa funktioner inkluderar servisionssidans program, bedöma mönster och värdena för varje parameter vid uppmaningen. Särskilt användningen av tillämpning särskilda egenskaper hos de påkallade parametrarna genomträder systemet för att genomföra en koncentrerad bedömning och generera ett minimerat antal falska positiva.

Det här systemet tenderar att automatiskt härleda parameterprofilerna som är länkade till webbapplikationer, till exempel deras längd såväl som deras struktur och kopplingen mellan frågor. Detta innebär att den kan distribueras i olika tillämpliga miljöer utan att det krävs tidskrävande inställning eller konfiguration. Anomalidetekteringsapplikationen som presenteras i detta dokument tenderar att rymma i form av inmatade webbservrar webbfiler som har överensstämmelse med Common Log Format (CLF) som genererar en poäng som är avvikande till sin natur för varje webbegäran (Liberty, 2002).

Mer konkreta utnyttjar de bedömningsmetoder som används av det här verktyget på de specifika HTTP-strukturfrågor som har parametrar. Sådana frågor om åtkomstmönster såväl som deras parametrar tenderar att jämföras med instituterade profiler som är specifika för programmet eller något aktivt program som kan hänvisas till. Denna strategi tenderar att förbättra en högkoncentrerad bedömning när det gäller detektionsmetoderna för generisk anomali som inte tar hänsyn till specifika program som åberopas.

Anomalidetektering beror på modeller av användarens avsedda beteenden såväl som applikationer och tenderar att tolka avvikelser från vanligt beteende som bevis för skadlig verksamhet. Antagandet är att attackmönster tenderar att skilja sig från vanligt beteende. Anomalidetektion förutsätter att skillnaden kan uttryckas både kvantitativt och kvalitativt. Den föreslagna detekteringsstrategin utvärderar HTTP-förfrågningar på samma sätt som de loggas av de flesta vanliga webbservrar. Bedömningen koncentreras på förfrågningar som använder parametrar som överför värden till aktiva dokument. Mer så att detekteringsprocessingången består av en uppsättning URI: er som beställs U = {u1, u2,. . . , um} och extraherats från effektiva GET-förfrågningar; deras returkoder tenderar att vara mer eller lika med 200 men bör vara mindre än 300 (Liljenstam, 2003).

URI-ui uttrycks i tärnor av element i den önskade resursvägen, en alternativ komponent av sökinformation (pinfoi), samt en alternativ sträng fråga (q). Frågesträngen används för att vidarebefordra parametrar till referensresurser där den påpekas genom att leda ''? '' -Tecken. En frågesträng består av ordnade listor med n par attribut tillsammans med deras analoga värden. I detta fall q = (a1, v1), (a2, v2),. (an, vn) där ai 2 A, är en uppsättning attribut medan vi är en sträng.

Bedömningsförfarandet koncentreras på förhållandet mellan värden, program och parametrar. URI: er som saknar frågesträngar betraktas som irrelevanta och därmed utplånade från U. Bortsett från URI: erna finns en uppdelning av U i Ur-underuppsättningar. Följaktligen tilldelas alla refererade program r till motsvarande frågor Ur. Processen för anomalidetektion använder flera distinkta modeller i en uppsättning olika modeller för att påpeka anomala poster. En modell kan sägas vara en uppsättning mekanismer som används för att utvärdera specifika frågefunktioner. Den här funktionen kan associeras med enstaka frågetecken (Lindqvist, 2001).

Mot bakgrund av den ungefärliga frågefunktionen fördelning av längd med l- och r2-parametrar är det upp till detektionsfasen att utvärdera en parameteranomali vars längd är l. Detta görs genom att beräkna längden l avstånd från u längdfördelningens medelvärde. Detta kan uttryckas med hjälp av Chebyshev-ojämlikheten. Endast strängar vars längd överstiger u uppfattas som skadliga. Detta återspeglas i sannolikhetsberäkningen eftersom strängarnas övre gräns är längre jämfört med medelvärdet och därmed relevant. Kategoriseringen av strategier för intrångsdetektering till missbruk och anomali baserade tenderar att vara ortogonal med avseende på den specifika metoden som används för att tillskriva skadliga eller vanliga attacker. I vissa fall används underskrifter i specifikationen för användarnas projicerade beteende (Mahoney, 2002).

Slutsats

Okända Linux / IOS-attacker måste hanteras med hjälp av verktyg och tekniker som innefattar precisionen för signaturbaserad exponering med anomaliskt grundat intrångsflexibilitetsdetekteringssystem. Detta dokument har föreslagit en ny strategi för att utföra anomalidetektering av okända Linux / IOS-attacker. Den använder som ingång HTTP-frågor som består av parametrar. Det är pionjärdetekteringsanomalysystemet modifierat för att upptäcka okända Linux / IOS-attacker. Det utnyttjar applikationsspecifika korrelationer mellan Linux-serverprogram och parametrar som används i deras kallelse. Idealiskt kräver inte denna applikation några installationskonfigurationer. Den lär sig också sina frågaattribut från utbildning av data. Graden av dess känslighet med anomala data kan emellertid konfigureras genom trösklar som kan passa olika webbplatspolicyer.

referenser

Almgren, MH Debar, M. Dacier, (2000), Ett lättviktigt verktyg för att upptäcka webbservernattacker, i: Förlopp i ISOC-symposiet om nätverks- och distribuerade systemsäkerhet, San Diego, CA ,.

Denning DE, (2012), En intrångsdetektering modell, IEEE Transaktioner på Software Engineering 13 (2) 222-232.

Feng, HJ Giffin, Y. Huang, S. Jha, W. Lee, B. Miller, (2004). Formalisering av känslighet för statisk analys för intrångsdetektering, i: Förhandlingar i IEEE Symposium om Securityand Privacy, Oakland, CA ,.

Forrest, S. (2010), En självkänsla för UNIX-processer, i: Förlopp i IEEE-symposiet om säkerhet och privatliv, Oakland, CA, sid. 120-128.

Ghosh, AKJ Wanken, F. Charron, (2007), Upptäcka avvikande och okända intrång mot program, i: Förlopp av den årliga datasäkerhetsapplikationskonferensen (ACSAC_98), Scottsdale, , sid. 259-267.

Ilgun, RA Kemmerer, PA Porras, K. (2011) Statlig övergångsanalys: ett regelbaserat intrångsdetekteringssystem, IEEE Transaktioner på Software Engineering 21 (3) 181-199.

Javitz, A. Valdes HS, (2010), SRI IDES statistisk anomaliedetektor, i: Förhandlingar i IEEE Symposium om Securityand Privacy, Oakland, CA ,.

Klein D., (2005), Försvar mot wilysurfer: Webbaserade attacker och försvar, i: Förlopp från USENIX Workshop om intrångsdetektering och nätverksövervakning, Santa Clara, CA ,.

Ko, CM Ruschitzka, K. Levitt, (2011), Exekveringsövervakning av säkerhetskritiska program i distribuerade system: ett specifikationsbaserat tillvägagångssätt i: Förhandlingar i IEEE Symposium om säkerhet och integritet, Oakland, CA, sid. 175-187.

Kruegel, CD Mutz, WK Robertson, F. Valeur, (2003), Bayesian händelseklassificering för intrångsdetektering, i: Förlopp av den årliga datasäkerhetsapplikationskonferensen (ACSAC 2003), Las Vegas, NV ,.

Lane, TCE Brodley, (2010), Temporär sekvenslärning och datareduktion för anomalydetektion, i: Förhandlingar i ACM-konferensen om dator- och kommunikationssäkerhet, San Francisco, CA, ACM Press, New York, s. 150-158.

Lee, WS Stolfo, (2000), En ram för konstruktion av funktioner och modeller för intrångsdetekteringssystem, ACM Transaktioner på Information och System Security 3 (4) 227-261.

Liberty, DJ Hurwitz, (2002), Programmering ASP.NET, O_Reilly, Sebastopol, CA.

Liljenstam, VD, Nicol, V. Berk, R. Gray, (2003), Simulering av realistisk nätverksmaskintrafik för maskvarningssystemdesign och testning, i: ACM Workshops handläggning på Rapid Malcode, Washington, DC, pp. 24-33.

Lindqvist, M. Almgren, U. (2001), Application-integrated data collection för säkerhetsövervakning, i: Förlopp av senaste framsteg vid intrångsdetektion (RAID), Davis, CA, oktober 2001, LNCS, Springer,, sid. 22-36.

Mahoney, P. Chan, M. (2002), Lärande icke-stationära modeller av normal nätverkstrafik för att upptäcka nya attacker i: Förlopp av 8th International Conference on Knowledge Discoveryand Data Mining, Edmonton, Alberta, Kanada, sid. 376-385.

Paxson, V. (2008), Bro: ett system för att upptäcka nätverks inkräktare i realtid, i: Förlopp i 7th USENIX Security Symposium, San Antonio, TX.

bilagor:
FilBeskrivningFilstorlek
Hämta den här filen (a_new_mechanism_to_detect_unknown_linux_IOS_attacks.pdf)En ny mekanism för att upptäcka okända Linux / IOS-attackerEn ny mekanism för att upptäcka okända Linux / IOS-attacker476 kB

Fler provskrivningar

Specialerbjudande!
Använda kupong: UREKA15 för att få 15.0% av.

Alla nya order på:

Skrivning, omskrivning och redigering

Beställ nu