Детектор
,
предложенный в работе
[1],
функционировал на компью
-
тере
SPARC Ultra 60
с тактовой частотой
450
МГц и анализировал кило
-
байт данных за
666
мкс
.
При этом на анализ исходного кода
,
предста
-
вленного на языке СИ
,
было затрачено
77 %
времени
,
на чтение фай
-
лов
— 21 %,
на идентификацию атаки
—
остальное время
.
Детектор атаки для исходных текстов
,
созданных средствами
оболочек
.
Исходный текст
,
как и ранее
,
разделялся на четыре части
(
кодовые категории
).
Были рассмотрены атакующие действия и скор
-
ректированы регулярные выражения для моделирования синтаксиса
оболочек
.
Были созданы специфичные характеристики для кода
,
со
-
ставленного средствами оболочек
.
Атакующий может использовать модуль из состава оболочки для
добавления в систему новых пользователя или гостевого пароля
(guess
password).
Поэтому было создано регулярное выражение для определе
-
ния доступа к файлам пароля
(password file)
и теневого пароля
(shadow
password file).
Атакующий может внести вредоносный код в файл функциональ
-
ной среды или в стек с целью аварийного завершения привилегиро
-
ванной программы
,
перемещать эти файлы и обращаться к другим
,
чтобы скрыть их изменение
.
Было разработано регулярное выражение
для определения этих действий
.
Осуществлялось также сканирование
исходных текстов с целью определения изменения переменных сре
-
ды
(altering environment variables)
и создание объекта в используемой
совместно библиотеке
(creating a sharing library object).
Атакующий иногда стремится получить доступ для использования
программы из состава оболочки
,
работающей в привилегированном
интерактивном режиме
(privileged interactive shell).
Для определения
этих действий также было создано регулярное выражение
.
Существуют атаки
,
которые направлены на изменение настроек ло
-
кальной безопасности хоста
,
изменение содержимого файлов типа
rhost
или
hosts.
Данные в измененных файлах атакующий может использо
-
вать для подключения к хосту
.
Для определения этих действий были
созданы регулярные выражения
.
При детектировании атак применялся метод обратного выявления
характеристик
(backward feature selection).
Метод описан в работе
[15].
Для файлов
,
содержащих комментарии
,
наибольшая эффективность
детектирования была достигнута при использовании
15
характеристик
,
сформированных для сканирования исходных текстов с целью опреде
-
ления наличия в нем следующих функций
:
localhost, copy, passw, link,
root, test, core, exec, trusted, chown, touchr, set[ug]id, interactive, shared
.
Для файлов
,
в которых отсутствовали комментарии
,
наибольшая
эффективность детектирования была достигнута при использовании
ISSN 0236-3933.
Вестник МГТУ им
.
Н
.
Э
.
Баумана
.
Сер
. "
Приборостроение
". 2004.
№
4 103