или
strings
,
либо текст
,
написанный на языке СИ или средствами обо
-
лочки и встроенный в кодовую категорию
strings
),
а также определе
-
ния необходимых компонентов для реализации этой атаки
(
ключевого
слова языка Ассемблер для включения в стек
(stack)
в кодовой катего
-
рии
code-sans-strings
;
вызовов функций управления системным журна
-
лом
(syslog)
в кодовой категории
code-sans-strings
;
функций
,
подобных
функциям
strcpy
и
memcpy
в кодовой категории
code-sans-strings
;
функ
-
ций
ptrace
в кодовой категории
code-sans-strings
).
В работе
[1]
также предложены регулярные выражения для опреде
-
ления самих атакующих действий
,
например вызовов функций
chown
,
setuid
,
passw
,
shadow
,
system
,
exec
.
Регулярные выражения были созданы для определения функций
,
используемых для получения локального имени хоста
(local host name)
и определения наличия главной функции
(main function)
в кодовой ка
-
тегории
code-sans-strings
.
Предложены также регулярные выражения для определения нали
-
чия в тексте обращений к локальным файлам
.
Результатом формирования характеристики являлось значение век
-
тора статистик характеристик
(vector of feature statistics),
которое по
-
ступало на вход детектора
,
построенного на основе нейронной сети
.
По комбинации элементов он определял наличие или отсутствие ата
-
кующего кода в исходном тексте
.
Детектор представлял собой много
-
уровневый перцептрон
(multi-layer perceptron)
нейронной сети
(neural
network),
для которого размерность пространства характеристик рав
-
на
19.
Детектор атаки может быть двух типов
: with-comment
и
sans-com-
ment.
Детектор первого типа может быть использован для защиты от
неподготовленного нападающего
,
детектор второго типа
—
для защиты
от более подготовленного и является прообразом детектора двоичного
кода
.
Детектор первого типа наиболее эффективно определял наличие
атакующего кода
,
встроенного в файл
,
для характеристик
,
сформиро
-
ванных при обработке комментария
,
вызовов функции
“
выполнить
”
(exec),
имен локальных файлов
.
Детектор второго типа наиболее эф
-
фективно определял наличие атакующего кода для характеристик
,
ко
-
торые соответствовали встроенному исполнительному коду
,
вызовам
функций типа
“
выполнить
” (exec),
вызовам для обращения к систем
-
ным файлам
.
Эксперимент показал
,
что в случае использования результатов де
-
тектирования атак система обнаружения вторжения может предотвра
-
тить значительное количество атак прежде
,
чем они начали осуще
-
ствляться
.
102 ISSN 0236-3933.
Вестник МГТУ им
.
Н
.
Э
.
Баумана
.
Сер
. "
Приборостроение
". 2004.
№
4
