12
характеристик
,
сформированных для сканирования текста с це
-
лью определения наличия в нем следующих функций
:
code, localhost,
set[ug]id, passw, root, link, chown, copy, exec, touchr
,
а также функций
обращения к другой оболочке и выполнения встроенного исполнитель
-
ного кода
.
Значение вектора статистики поступало на вход детектора
,
постро
-
енного на основе нейронной сети
.
Детектор представлял собой много
-
уровневый перцептрон нейронной сети
(neural network),
для которого
размерность пространства характеристик равна
16
или
12
в зависимо
-
сти от использования или неиспользования секции комментариев
.
Атакующий код в файлах
,
входящих в состав оболочки
,
точно опре
-
делить значительно труднее
,
чем в файлах
,
созданных на языке СИ
.
Детектор
,
предложенный в работе
[1],
функционировал на компью
-
тере
SPARC Ultra 60
с тактовой частотой
450
МГц и анализировал кило
-
байт данных за
1,071
мкс
.
При этом на анализ исходного текста потре
-
бовалось
77%
времени
,
на чтение файлов
— 21%,
на детектирование
атаки
— 1%
и на другие действия
— 3%.
На ввод
/
вывод данных потребовалось большее время ввиду того
,
что модули из состава оболочки меньше по размеру
(
в байтах
),
чем мо
-
дули
,
созданные на языке СИ
.
Процесс детектирования для модулей из
состава оболочки также занимал больше времени
,
поскольку регуляр
-
ные выражения в этом случае были более сложными
.
Результаты испытаний системы
.
Для проведения экспериментов
авторами работы
[1]
был создан инструментарий сканирования файлов
.
Испытания системы проводились на сервере
,
на котором использо
-
вались разнообразные программные средства
.
Ожидалось большое ко
-
личество ложных тревог
,
так как многие модули имели характеристики
,
похожие на характеристики программ
,
содержащих атакующий код
.
Сервер содержал
4 880 452
файла общей длиной
137 044 936
Кб
.
Файлы длиной более
1
Мб сканированию не подвергались
.
Идентифи
-
катор языка определил
36 600
файлов с исходным текстом на языке СИ
и
72 849
файлов
,
созданных средствами оболочек
,
т
.
е
. 109 449
файлов
были выделены для дальнейшего анализа
.
Детектор атак определил
4836
файлов
,
содержащих атакующий код
,
из которых
3855 (
∼
10
%)
являлись написанными на языке СИ и
981
(
∼
1
%) —
созданными средствами оболочек
.
Дальнейший анализ показал
,
что относительно
143
файлов детек
-
тором выработаны неправильные решения
,
при этом для файлов
,
на
-
писанных на языке СИ
—
в
33
случаях
,
а для файлов
,
созданных сред
-
ствами оболочки
—
в
110
случаях
.
На чтение файлов потребовалось
54%
общего времени эксперимен
-
та
,
на определение языка
— 16%,
на определение присутствия атаку
-
104 ISSN 0236-3933.
Вестник МГТУ им
.
Н
.
Э
.
Баумана
.
Сер
. "
Приборостроение
". 2004.
№
4
