enarzh-CNfrdeiwjanofaptruessv
En ny mekanism för att upptäcka okända Linux / IOS-attacker
1 1 1 1 1 1 1 1 1 1 Betyg 5.00 (2 röster)

Introduktion

Generera nyttolast med MetaSploit och MSF Venom

MSF Venom är ett kommandoradsverktyg som hjälper testteamet att generera fristående nyttolaster att utföra på sårbara maskiner och system för att fjärråtkomst till systemen. MSF Venom är en kombination av MSF Payload och MSF kod som stöder olika alternativ för att testa systemets sårbarheter. Några av dessa alternativ som användes av MSF Venom inkluderar nyttolastanvändning som beskriver hur man använder anpassade nyttolaster för testen, listar de olika nyttolasternas standardalternativ, skisserar modultypen som kan innefatta nyttolast, kodare, bestäm längdstorleken på nyttolast, utdata format, lista de tillgängliga formaten (Almgren, 2000).

MSF Venom kräver också penetrationstestare för att bestämma vilken typ av kodare som ska användas, systemarkitekturen, plattformen där nyttolasten ska fungera, den maximala storleken på den resulterande nyttolasten, den maximala storleken på den kodade nyttolasten, en lista med tecken som ska undvikas under testerna, antalet gånger för att koda nyttolasten, ange en anpassad körbar fil som ska användas som mall och bevara mallbeteende och nyttolastinsprutning. Nedan är en stillbild av MSF Venom olika alternativ tillgängliga för penetrationstestfasen.

Detta är ett språk som används för att förklara metaspoiltprogrammet. Det kan använda vilket språk som helst som standardspråk.

Hypotes: Hur falska positiva och falska negativa koncept kan användas för att bestämma känslighetsanalys i system.

Det är viktigt att skydda och skydda systemet från alla cyberbaserade hot när man utvecklar och kör datorsystem och applikationer. En känslighetsanalys är en komplex studie av osäkerheter i utmatningen av ett datorsystem eller applikation. Känslighetsanalys innefattar testning av olika antaganden och test för att bestämma osäkerhetsnivån och effekten av en variabel på systemutmatningen (Denning, 2012).

Denna studie är viktig för att bestämma systemets robusthet genom att testa osäkerheter, öka förståelsen för applikationen eller systemet för att identifiera sårbarheter och styrkor i systemet eller applikationen. Känslighetsanalys hjälper också system- och applikationsutvecklingsgruppen att identifiera osäkerheter och sårbarheter, vilket hjälper utvecklingsgruppen att minska dessa osäkerheter, fel och sårbarheter. Det hjälper också att identifiera delar av modellinmatningen som inte påverkar utmatningen, vilket hjälper till att förenkla systemmodellen (Feng, 2004).

Studien kommer också att bidra till att förbättra kommunikationen mellan utvecklingslaget och beslutsfattarna att utbyta idéer och göra rekommendationer för att förbättra systemet innan det släpps ut till allmänheten. Studien identifierar också inmatningsfaktorer och effekter på systemutmatningen för att bestämma optimala mätningar och känsliga parametrar inom systemet som kan påverka det slutliga systemet (Forrest, 2010).

Syftet med detta forskningspapir är att testa ett system för osäkerhet och fel för att minska sårbarheter som kan utsätta systemet för att bryta mot cyberhot. Några av de attacker som ska testas inkluderar okända och kända attacker. Kända hot och attacker är i grunden attacker som är väl identifierade av signaturer på antivirus- och intrångsdetekteringssystemmotorer och domännamnets svartlistor. Okända attacker å andra sidan är nya utan inspelad attack signatur och utgör därmed ett allvarligare hot eftersom deras funktionssätt är okänt (Ghosh, 2007).

Mot bakgrund av detta kommer undersökningen att undersöka hur man använder de falska positiva och falska negativa koncepten för att testa för känslighetsanalys. Ett falskt positivt kallat också ett falskt larm är ett testresultat som indikerar att ett givet tillstånd har uppfyllts. Detta är ett typ I-fel som kontrollerar ett enda villkor, t.ex. närvaron av kodfel i systemet med resultaten antingen true eller false. Den falska negativa å andra sidan är ett test som indikerar att resultaten i det tillstånd som testas misslyckades ändå är det faktiska resultatet lyckat. Detta är ett typ II-fel där ett enda tillstånd testas med resultatet antingen positivt eller negativt (Ilgun, 2011).

En av de applikationer som ska användas i detta dokument är MSF Venom-applikationen och Metasploit-verktygen för att genomföra penetrationstest på målsystemet eller applikationen. MSF Venom är ett kommandoradsverktyg som hjälper systemutvecklarna att generera fristående nyttolast på sårbara system för att fjärråtkomst till systemet. Metasploit å andra sidan är ett testverktyg som gör det möjligt för applikationspenetrationstestare att kringgå antiviruslösningar som gör att testteamet kan generera nyttolast, prova nätverkssegmentering och öka prestanda och produktivitet i systemet genom att rapportera systemfunktioner och möjliggöra automatiska uppdateringar. I det här dokumentet kommer vi att undersöka penetrationsprov som ska genomföras för att testa sårbarheter i systemen, identifiera typer av fel och attacker och rekommendera sätt att förbättra produktiviteten i systemet och optimera produktiviteten (Javitz, 2010).

Kända och okända attacker

Kända cyberattacker är skadliga attacker på datorsystem och applikationer som redan är kända för penetrationstestare och vars underskrift redan har identifierats. Kända attacker börjar som okända och blir kända endast när de har identifierats som skadliga genom automatisk eller manuellt i leverantörslaboratorier och en signatur tilldelad dem. De flesta av de nuvarande dynamiska analyslösningarna använder sofistikerade mätvärden för att upptäcka om en genererad nyttolast är skadlig med prediktiva algoritmer som används för att karakterisera nyttolastaktiviteten (Klein, 2005).

Den okända attacken är bara en ny attack utan en signatur. Skillnaden mellan en känd och okänd attack är en tidsskillnad, eftersom det okända blir känt med tiden. Attackerfilen kommer helt enkelt att erkännas av sökmotorer som skadlig och därigenom skapa behovet av att identifiera en nyttolast som är okänd för sökmotorn. Detta kommer att innebära inköp av tillgängliga sökmotorer och köra skadliga filer tills en hacker finner ett sätt att kringgå sökmotorerna och göra den skadliga filen odetekterbar (Ko, 2011).

Utformningen av säkra system som kan motstå cyberattacker är inte bara svårt men väldigt komplext. Tidigare har designers brukade konstruera låser som är mycket starka genom att placera starka säkerhetsmekanismer kring sina system. Under senare tid har konstruktörer förändrats och bygger nu system som fortfarande är i drift trots fortsatt angrepp genom att utnyttja tekniker som är bra utvecklad genom fel tolerans samt pålitlighet (Kruegel, 2003).

Meta-sploit

Utnyttjande konceptet brukar brytas in i flera delar. Det blir först kopplat till sårbarhet. När den sårbara koden blir ansluten får du nyttolastdata. Sårbarheten exploateras sedan av nyttolasten och en skalskiva av komponent skapas. Beroende på vilken typ av överförd nyttolast som helst, kan komponenten av skalet återanslutas till handlaren som vanligtvis genereras före leverans av nyttolast. Vid etablering av anslutningen kan skalet ta emot kommandon för att extrahera information från den riktade maskinen. Det kan också göra en förlängning av dess funktionalitet genom leverans av koden (Lane, 2010). Genom att erbjuda flexibiliteten i leveransen av olika typer av nyttolaster av skal tenderar utnyttjandeelementen att använda det generiska gränssnittet som erbjuds av nyttolastningselementet. De olika utförandena av nyttolastgränssnittet erbjuder eventuella skalbelastningsbelastningar som sannolikt kommer att distribueras till sårbarheten. Upptäckten av sårbarheter och exploateringsutveckling är en utmanande uppgift som kräver olika tankesätt och motivation. Så mycket som fizzingverktyg finns i Metaspolit-ramarna vid upptäckten av sårbarheter är det mycket tid då Metaspolit kommer att användas för att utnyttja kända sårbarheter, vilket är dess främsta funktion (Lee, 2000).

Det är inte ett måste för sårbarheter att vara närvarande i nätverket och med tanke på att nätverk har blivit mycket säkra administratörer och till och med användare som inte är utbildade är vanligtvis det riktade sårbara elementet. Vid identifiering av sårbara användare kan leverans av utnyttjanden göras genom phishing-attacker eller personligen genom att använda en rekryterad insider. Alla metamodelelement uppfattas som fasader. Till exempel anslutningselementen för Metasploit en generisk ram har API-samtal erbjuds att ansluta till nästan alla renown-tjänster på OS (Liberty, 2002).

Lastbelastningselementen erbjuder exploateringsramverket med koder som kan genomföras på framgång av ett utnyttjande. Hanterare fungerar dock inte som nyttolast, men av utföringsskäl ingår de i klassens nyttolasthierarki. För att hitta en omfattande detaljerad kontroll över riktade nätverk finns det ett behov av att använda nyttolast som kan tjäna server-typ av element på riktade maskiner. Dessutom måste deras kapacitet kunna förlängas när det behövs (Liljenstam, 2003).

För att få denna typ av funktionalitet finns det ett behov av att införliva protokollet såväl som kommandotsidan kommandot samt ledningselement. Ett antal av dessa element kan observeras i Metasploit-ramen. UI-fasadelementen erbjuder gränssnitt som genomtränger angriparen att hantera hur ett antal nyttolaster och hanterare kan fästas till exploateringselementen före lanseringen. Dessa fasadeelement innefattar chefer, kontroller, proxyer, visningar, kommandotillverkare och kommandon. Datalagringselement har gränssnitt som genomtränger attackeren för att lagra en angrepps konfigurationsdetaljer (Lindqvist, 2001).

Typ I, och typ II-fel

Typ 1-felet benämns också den falska positiva det här är så eftersom det tenderar att avvisa nollhypotesen även när det är sant. Det accepterar i huvudsak en valfri hypotes när resultaten utsätts för chans. Det tenderar att hända när man observerar skillnader där det inte finns någon. Typ Il-felet kallas också falskt positivt. Detta beror på att det tenderar att avvisa nollhypotesen när den valfria hypotesen anses vara naturens sanna tillstånd. Det är ett fel där man inte accepterar en valfri hypotes på grund av att den är otillräcklig vid makten. Det händer när individer misslyckas med att observera skillnader trots att det kan finnas en (Mahoney, 2002).

Test av hypotes är testprocessen om skillnader i två samplade fördelningar kan förklaras med slumpmässig chans eller inte. Om man kan dra slutsatser om att det finns ett meningsfullt sätt där två fördelningar varierar, måste det finnas tillräcklig försiktighet för att uppfatta att skillnaderna inte är av slumpmässig chans. Typ I-fel tillåter inte obefogad hypotes, varför individer tar försiktighet vid minskning av förekomstchanserna. Konventionella försök görs för att ställa in typ I-fel som 0.05 eller 0.01, där det endast finns en eller fem chanser av100 om förekomsten av ett fenomen med avseende på graden av betydelse. Det är emellertid inte säkert att 0.05 eller 0.01 är tillräckligt sällsynt. Därför är det nödvändigt att försiktigt välja väsentliga nivåer. Flera testningar som är den sannolika ökningen i typ I-fel händer när det upprepas att använda statistiska fel (Paxson, 2008).

Ny mekanism som upptäcker okända attacker för att göra dem kända

Det är inte möjligt att konstruera ett inbrotts toleranssystem som kan överleva för en meningsfull tidsperiod utan att hantera okända attacker utmaningar samt begränsade failover resurser. Det är klokt att härda sitt system för att uppskatta motståndarens arbetsfaktor. Den tid som krävs för att identifiera nya sårbarheter i något system samt utvecklingen av dess utnyttjande kan dock vara stor (Almgren, 2000).

Till en motståndare som är bestämd kan det handla om tid och pengar. Vid utveckling av en attack kräver det begränsad tid att utföras. I de flesta fall finns det begränsad tid för skapandet av enkla attackvarianter. Om hotmiljön i ett intrångstolerant system medför motståndare som är välbärgade, borde systemet kunna hantera många attacker som är okända (Denning, 2012). Linux-servrar

Linux har blivit ett populärt val för operativsystem i serverns miljö. Granulariteten samt smidighet av inställningar, säkerhet, hög prestanda och tillförlitlighet är dess fördelar jämfört med andra system. Med tanke på infrastrukturella begränsningar är många tjänster värd för en server och därmed inser utmaningen att hur Linux-servern skulle kunna skyddas. Linux-serverns skyddspraxis kan inte vara ett enstaka prov, utan det är en permanent mekanism som håller så länge servern används. Målet är att öka säkerheten och snabbt upptäcka utmaningar (Feng, 2004).

Vid installationen av Linux-servern är det viktigt att onödiga tjänster är inaktiverade. Oöverträffade paket bör också tas bort. Det största hotet mot Linux-paket beror på osäkra programvarupaket som används vid utförandet av ett antal kommandon som kommer från avlägsna platser. De inkluderar R-kommandon som; rsh, rexec och rlogin. Dessa mjukvarupaket tenderar att överföra kommandon, användarnamn och lösenord via nätverk i avsaknad av tidigare inspelning. Vid avlyssning av trafiken kan angriparen se den information som kan pausa en kritisk säkerhetsutmaning. Det krävs således att dessa paket tas bort från Linux-servern och använder protokoll som använder sig av krypterad kommunikation, till exempel SSH.

Serverens administratör bör göra försiktiga överväganden om huruvida det är kritiskt för ett antal protokoll, till exempel filöverföringsprotokollet och Telnet att inneha såväl klienten som serverns support. Det är viktigt att filer från separata FTP-servrar hämtas. Körningen av en FTP-server som inte används är ett kritiskt hot mot Linux-servrar (Forrest, 2010).

Administratören av Linux-servrar måste starta Linux-operativsystem som erbjuder säker överföring av filer för att förbättra uppdateringen av paketet samt tillämpningen av relevanta patchar. All data som går igenom dessa nätverk måste krypteras av administratören om det är möjligt. Systemadministratörer har använt SSH samt Telnet-protokollen i deras fjärråtkomst på Linux-servern.

Men Telnet är nu absolut eftersom det aldrig krypterar data som det utbyter med servrar, och detta inkluderar användarens uppgifter. Någon person i det här nätverket mellan datoradministratören såväl som den kommunicerande servern kan avlyssna paket och ha användaruppgifter, vilket ger fullständig kontroll över servern. SSH-protokollet är sålunda föredraget över Telnet-protokollet av dessa skäl.

SSH-protokollet tillhandahåller kommunikationsskydd i servern genom tillhandahållande av asymmetrisk grundläggande kryptografi. Kommunikationen mellan SSH-servrar och klienter tenderar att vara krypterad och oförklarlig till tredje part som kan fånga upp utbytta paket. Autentiseringen av SSH-servern kan uppnås genom krypterad överföring av användaruppgifter. Detta kan också undvikas genom att använda manuellt skapade asymmetriska nycklar där det inte finns någon nödvändighet att använda lösenord (Ghosh, 2007).

Om autentiseringen görs med nycklar som genereras manuellt utan överföring av lösenord, bör autentiseringsnyckeln vara den enheten som kan komma åt Linux-servern. Anställningen av användaruppgifter är avgörande för administratörer att logga in på servern där separata datorer används för isolerad inloggning på servern. För kommunikation och samordnad autentisering mellan två Linux-servrar är det kritiskt att manuellt skapade asymmetriska nycklar används. Det här beror på att det finns permanenta parter i meddelandet och därmed undviker kravet på att skriva lösenord på filerna.

Säkra kanaler för kommunikation

Om det finns behov av överföring av filer mellan Linux-servrar och fjärrmaskiner ska det ske via säkra kommunikations kanaler. FTP-protokollet är mycket populärt för filöverföringar. Men det står inför liknande säkerhetsrisker precis som Telnet protocol.ore säkra alternativ som SCP, FTPS eller SFTP rekommenderas. SFTP-protokollet (Secure File Transfer Protocol) tenderar att skapa säker och krypterad kommunikation genom att använda fjärranslutningar för att förbättra tillgången till, överföring och hantering av filer. Detta protokoll använder även en SSH-tunnel i hanteringen av filer i isolerade servrar (Ilgun, 2011).

FTPS (File Transfer Protocol Secure File Transfer Protocol) härrör från FTP grundat på Transport Layer Security (TLS) samt Secure Sockets Layer (SSL) som förbättrar säker dataöverföring. FTPS är väldigt mycket samma som Hypertext Transfer Protocol Secure (HTTPS) protokollet och kräver ett digitalt certifikat på servrar. Med tanke på att andra parter i meddelandet borde lita på det monterade serverns digitala certifikat kan detta uppleva utmaningar vid genomförandet av hela lösningen. Om överföringsförmågan är anställd för systemets behov såväl som för serveradministration krävs att SFTP-protokollet används, eftersom det ger många alternativ för filhantering (Javitz, 2010).

Om filer överförs från Linux-servern som en tjänst för sina slutanvändare rekommenderas att använda FTPS-protokollet eftersom det förbättrar autentisering av servern med hjälp av digitala certifikat. FTPS tenderar att använda UDP- eller TCP 990- och 989-portarna för att upprätta anslutningar och överföra filer. Det är därför viktigt att dessa portar är öppna på Linux-servrar. Det säkra kopieringsprotokollet (SCP) som använder SSH-protokollet garanterar kryptering och autentisering av data som är krypterad. Denna process är densamma som den som används av SFTP-protokollet. Men det här innebär mer kapacitet än att bara överföra filer. SCP använder porten 22 TCP för att garantera säker överföring av filer.

Linux-servern måste ha extra utrymme för att lagra data som samlats under operationer. Administratörer tenderar att använda isolerade system av filer i utbyggnaden av deras serverkapacitet. Linux-servrar är vanligtvis anslutna till fjärrservrar för att lagra data och använda en del av filsystemet. Fjärrfilsystem öppnas via nätverk och systemadministratörer har liknande erfarenheter som om fjärrfilsystem krypteras på Linux-servern. Överföringen av data mellan servrar och isolerade filsystem bör vara tillräckligt säkrad så att den överförda data inte äventyras. Det rekommenderas att systemadministratörer använder Secure Shell File System (SSHFS) som ökar anställning av isolerade system av filer på Linux-servrar. SSHFS använder SSH-länken för att säkert överföra data i nätverk. Grundläggande använder SSHFS SFTP-protokollet som förbättrar filhantering, säker åtkomst samt dataöverföring på isolerade filsystem (Klein, 2005).

Linux sever kan endast skyddas effektivt genom att administratören är välinformerad. Detta kan göras av att han har ett konsekvent flöde av tillförlitlig information om säkerhetstrender som berör relevant Linux-distribution samt installerade programpaket. Många sårbarheter har hittats över tiden i Linux-programvarupaket och de kunde användas av angripare för att kompromissa med servrar. Med tanke på e-postlistor som hanterar säkerhetsutmaningar i Linux-distributionsadministratörer kan de snabbt handla genom systemets uppdatering och eliminering av sårbarheter. Det är därför kritiskt att använda säkra e-postlistor i Linux-distributioner. Grundad på samlade informationsadministratörer kan bestämma när systemet kan uppdateras samt programvarupaket som kan användas på servrarna.

Yum-pakethanteraren har rekommenderats för apt-get eller Red Hat-distributioner för att garantera effektiv installation såväl som uppdatering av programvarupaket och relevanta beroenden. Det förbättrar också effektiv borttagning av mjukvarupaket. Paketförvaltare tenderar att upprepade gånger kontrollera paketets digitala signatur och undvika installation om sådana paket har ogiltiga signaturer. Administratörer måste använda de vanliga programvaruförteckningarna som har föreslagits av säljare. Programvarupaket kan också hämtas från flera repositorier men det kräver extra försiktighetsåtgärder. Det är klokt för administratörer att verifiera de nya versionerna av paket innan de uppdateras för att bedöma deras stabilitet samt eventuella säkerhetsutmaningar. Installationer bör bara hända med programvara som saknas i officiella arkiv. Dessa paket kan också erhållas från ett antal om förvar, men med extra försiktighet. Inofficiella mjukvarupaket i testytan bör inte installeras på Linux-servrar (Ko, 2011).

Inspelning av en lista över paket som installeras liksom deras tidigare versioner antas vara den bästa praxis. Detta beror på att administratören skulle kunna komma åt de senaste ständiga versionerna. Om nya paket är ett hot mot serverns stabilitet kan administratören hämta de tidigare installerade versionerna och installera dem igen. Administratörer kan ställa in systemet för automatisk uppdatering av programvarupaket, men det rekommenderas vanligtvis inte. Den bästa praxisen är att göra en ömsesidig verifiering av varje uppdatering av paket.

Administratören kan också sätta ihop paketförvaltarna för att skicka intermittenta meddelanden av e-postmeddelanden där han kan lista alla paket som kan uppdateras av servern. Efter en genomgång av dessa paket är det på administratören att fatta beslut om separat uppdatering av varje paket. Den avbrutna sändningen av e-postmeddelanden via Yum-pakethanteraren kan brukar konfigureras i konfigurationsfilen (Kruegel, 2003). Det är viktigt att återuppta Yum-uppdaterad tjänst vid ändringar i den konfigurerade filen. Administratörer som använder Debian-distributioner uppskattas i installationen samt anställningen av aptikronpaketet med programvara för att garantera rutinkontroll i uppdateringen av paket samt e-postmeddelanden. I konfigurationsfilen för aptikronpaketet är det klokt att ange e-postadressen där meddelandet kommer att skickas. Om administratören har tillräcklig erfarenhet av att definiera de paket som krävs på servrarna uppfattas det en raffinerad praxis att komma fram till ett lokalt arkiv i ett sådant nätverk. Förvaret för kända och stabila paketversioner kan genereras på en Linux-server där andra nätverksservrar kunde hämta paketen. Sådana lösningar kräver detaljerade kontroller av alla paket innan de lagras i ett lokalt förråd.

Linux-servrar tenderar att multitask genom att erbjuda flera tjänster i ett fall. Detta leder till att servern används ekonomiskt såväl som optimal effektivitet. Systemadministratören måste dock fortsätta att observera säkerhetens gyllene regel. Detta säkerställer att systemet är lika säkert som de högt värdiga tjänsterna i den. Den perfekta lösningen erhålls när varje Linux-server erbjuder endast en tjänst till slutanvändarna (Lane, 2010).

Det finns ett antal verktyg som kan användas för att förbättra säkerheten. De begränsar obehörig tillgång till skadliga försök samt tjänster som kan förena Linux-servern. Linux har flera inneboende säkerhetsverktyg till exempel SELinux och Netfilter. Netfilter är en funktion som vanligtvis avlyser såväl processer som paket av nätverk. Detta kan hittas i ungefär alla Linux-system som har 2.4 och över versioner av kärnan.

En ny mekanism för att upptäcka okända Linux / IOS-attacker

Webbaserade sårbarheter ger betydande delar av säkerhetsexponeringar för datanätverk. För att garantera detektering av kända attacker som finns på webben brukar det vara missbrukat detekteringssystem som är utrustade med många signaturer. Det är dock inte lätt att vara på förhand med dagliga upplysningar om sårbarheter som är webbrelaterade. Bortsett från det kan sårbarheter introduceras genom installationsspecifika webbgrunder. Detta innebär att missbruksdetekteringssystem bör stödjas av anomalitetsdetektiva applikationer (Lee, 2000).

I det här dokumentet föreslås ett intrångsdetektivsystem som använder en särskild anomalitetsdetekteringsmetod vid upptäckt av okända Linux / IOS-attacker. Detta system tenderar att utvärdera olika klientfrågor som har en referens för ett antal serverns program och genererar modeller för ett brett spektrum av olika egenskaper för dessa frågor. Några av dessa funktioner inkluderar servisionssidans program, bedöma mönster och värdena för varje parameter vid uppmaningen. Särskilt användningen av tillämpning särskilda egenskaper hos de påkallade parametrarna genomträder systemet för att genomföra en koncentrerad bedömning och generera ett minimerat antal falska positiva.

Systemet brukar automatiskt härleda parameterv profilerna som är kopplade till webbapplikationer, till exempel deras längd såväl som deras struktur och sambandet mellan frågor. Det betyder att det kan användas i olika tillämpliga miljöer utan att det behövs tidsförbrukad inställning eller konfiguration. Anomalitetsdetekteringsprogrammet som presenteras i detta papper tenderar att rymma i form av webbservrar med webbservrar som överensstämmer med Common Log Format (CLF), vilket genererar ett poäng som är anomali i naturen för varje webbförfrågan (Liberty, 2002).

Mer konkreta utnyttjar de bedömningsmetoder som används av det här verktyget på de specifika HTTP-strukturfrågor som har parametrar. Sådana frågor om åtkomstmönster såväl som deras parametrar tenderar att jämföras med instituterade profiler som är specifika för programmet eller något aktivt program som kan hänvisas till. Denna strategi tenderar att förbättra en högkoncentrerad bedömning när det gäller detektionsmetoderna för generisk anomali som inte tar hänsyn till specifika program som åberopas.

Anomaliedetektion beror på modeller av användarnas avsedda beteenden samt applikationer och tenderar att tolka avvikelser från vanligt beteende som skadliga aktiviteter bevis. Antagandet är att angreppsmönster tenderar att skilja sig från det vanliga beteendet. Anomaliedetektion förutsätter att skillnaden kan uttryckas både kvantitativt och kvalitativt. Den föreslagna upptäcktsstrategin utvärderar HTTP-förfrågningar på samma sätt som de loggas av de flesta vanliga webbservrar. Bedömningen koncentrerar sig på förfrågningar som använder parametrar som överför värden till aktiva dokument. Mer så är detekteringsprocessen ingående av en uppsättning URI som beställs U = {u1, u2,. . . , um} och extraheras från effektiva GET-förfrågningar; deras återvändande torsk tenderar att vara mer eller lika med 200 men bör vara mindre än 300 (Liljenstam, 2003).

URI-ui uttrycks i terner av element i den önskade resursvägen, en alternativ komponent av sökvägsinformation (pinfoi), såväl som en alternativ sträng av fråga (q). Fråge-strängen används i överföringsparametrar till referensresurser där den påpekas av ledande ''? '' Tecken. En fråge sträng består av beställda listor med n par attribut tillsammans med deras analoga värden. I detta fall är q = (a1, v1), (a2, v2),. (a, vn) där ai 2 A, är en uppsättning attribut medan vi är en sträng.

Bedömningsförfarandet koncentrerar sig på förhållandet mellan värden, program och parametrar. URI som saknar fråge strängar anses vara irrelevanta och sålunda utvisas från U. Förutom URI: erna finns U-partitionen i Ur-undergrupper. Följaktligen tilldelas alla refererade program r motsvarande svar på Ur. Processen med anomalitetsdetektering använder flera olika modeller i en uppsättning olika modeller för att peka på anomalösa poster. En modell kan sägas vara en uppsättning mekanismer som används vid bedömning av specifika sökfunktioner. Den här funktionen kan associeras med enkla frågetecken (Lindqvist, 2001).

I ljuset av den approximerade sökfunktionsfördelningen av längd med l- och r2-parametrar är det upp till detekteringsfasen för att utvärdera en parameteranomali vars längd är l. Detta görs genom att beräkna längden l avstånd från dig längdfördelningens medelvärde. Detta kan uttryckas med hjälp av Chebyshev-ojämlikheten. Endast strängar vars längd överstiger dig uppfattas som skadliga. Detta speglas i sannolikhetsberäkningen eftersom strängarna övre gränsen är längre jämfört med medelvärdet och därmed relevant. Kategoriseringen av strategier för intrångsdetektering i missbruk och anomali baseras tenderar att vara ortogonala i förhållande till den specifika metoden som används för att tillskriva skadliga eller vanliga attacker. I vissa fall används signaturer i specifikationen av användarnas projicerade beteende (Mahoney, 2002).

Slutsats

Okända Linux / IOS-attacker måste hanteras med hjälp av verktyg och tekniker som består av precisionen av signaturen, grundad exponering med anomalysbaserat system för inbrottsflexibilitet. Detta dokument har föreslagit en ny strategi för att utföra anomalitetsdetektering av Okända Linux / IOS Attacks. Det används som inmatade HTTP-frågor som består av parametrar. Det är pionjärdetekteringsanomalysystemet modifierat för att upptäcka Okända Linux / IOS Attacks. Det kapitaliserar på applikationsspecifika korrelationer mellan Linux-serverns program och parametrar som används i deras invokation. Ideellt kallas inte denna applikation för några speciella konfigurationer för installationen. Den lär också sina frågegenskaper från datautbildning. Graden av dess känslighet med avvikande data kan emellertid konfigureras genom tröskelvärden som kan passa olika webbplatspolicyer.

referenser

Almgren, MH Debar, M. Dacier, (2000), Ett lättviktigt verktyg för att upptäcka webbservernattacker, i: Förlopp i ISOC-symposiet om nätverks- och distribuerade systemsäkerhet, San Diego, CA ,.

Denning DE, (2012), En intrångsdetektering modell, IEEE Transaktioner på Software Engineering 13 (2) 222-232.

Feng, HJ Giffin, Y. Huang, S. Jha, W. Lee, B. Miller, (2004). Formalisering av känslighet för statisk analys för intrångsdetektering, i: Förhandlingar i IEEE Symposium om Securityand Privacy, Oakland, CA ,.

Forrest, S. (2010), En självkänsla för UNIX-processer, i: Förlopp i IEEE-symposiet om säkerhet och privatliv, Oakland, CA, sid. 120-128.

Ghosh, AKJ Wanken, F. Charron, (2007), Upptäcka avvikande och okända intrång mot program, i: Förlopp av den årliga datasäkerhetsapplikationskonferensen (ACSAC_98), Scottsdale, , sid. 259-267.

Ilgun, RA Kemmerer, PA Porras, K. (2011) Statlig övergångsanalys: ett regelbaserat intrångsdetekteringssystem, IEEE Transaktioner på Software Engineering 21 (3) 181-199.

Javitz, A. Valdes HS, (2010), SRI IDES statistisk anomaliedetektor, i: Förhandlingar i IEEE Symposium om Securityand Privacy, Oakland, CA ,.

Klein D., (2005), Försvar mot wilysurfer: Webbaserade attacker och försvar, i: Förlopp från USENIX Workshop om intrångsdetektering och nätverksövervakning, Santa Clara, CA ,.

Ko, CM Ruschitzka, K. Levitt, (2011), Exekveringsövervakning av säkerhetskritiska program i distribuerade system: ett specifikationsbaserat tillvägagångssätt i: Förhandlingar i IEEE Symposium om säkerhet och integritet, Oakland, CA, sid. 175-187.

Kruegel, CD Mutz, WK Robertson, F. Valeur, (2003), Bayesian händelseklassificering för intrångsdetektering, i: Förlopp av den årliga datasäkerhetsapplikationskonferensen (ACSAC 2003), Las Vegas, NV ,.

Lane, TCE Brodley, (2010), Temporär sekvenslärning och datareduktion för anomalydetektion, i: Förhandlingar i ACM-konferensen om dator- och kommunikationssäkerhet, San Francisco, CA, ACM Press, New York, s. 150-158.

Lee, WS Stolfo, (2000), En ram för konstruktion av funktioner och modeller för intrångsdetekteringssystem, ACM Transaktioner på Information och System Security 3 (4) 227-261.

Liberty, DJ Hurwitz, (2002), Programmering ASP.NET, O_Reilly, Sebastopol, CA.

Liljenstam, MD Nicol, V. Berk, R. Gray, (2003), Simulering av realistisk nätverksmaskintrafik för maskvarningssystemdesign och testning, i: ACM Workshops handläggning på Rapid Malcode, Washington, DC, pp. 24-33.

Lindqvist, M. Almgren, U. (2001), Application-integrated data collection för säkerhetsövervakning, i: Förlopp av senaste framsteg vid intrångsdetektion (RAID), Davis, CA, oktober 2001, LNCS, Springer,, sid. 22-36.

Mahoney, P. Chan, M. (2002), Lärande icke-stationära modeller av normal nätverkstrafik för att upptäcka nya attacker i: Förlopp av 8th International Conference on Knowledge Discoveryand Data Mining, Edmonton, Alberta, Kanada, sid. 376-385.

Paxson, V. (2008), Bro: ett system för att upptäcka nätverks inkräktare i realtid, i: Förlopp i 7th USENIX Security Symposium, San Antonio, TX.

pin It
bilagor:
FilBeskrivningFilstorlek
Hämta den här filen (a_new_mechanism_to_detect_unknown_linux_IOS_attacks.pdf)En ny mekanism för att upptäcka okända Linux / IOS-attackerEn ny mekanism för att upptäcka okända Linux / IOS-attacker476 kB

Fler provskrivningar

Specialerbjudande!
Använda kupong: UREKA15 för att få 15.0% av.

Alla nya order på:

Skrivning, omskrivning och redigering

Beställ nu