ющего кода в файлах
,
написанных на языке СИ
, — 8,7%
и в файлах
,
созданных средствами оболочки
, — 14%,
на другие действия
— 6,8%.
Большое количество времени
,
затраченное на идентификацию языка
,
объясняется тем
,
что многие файлы при испытаниях не являлись напи
-
санными на языке СИ и созданными средствами оболочки
.
Выводы
.
По мнению авторов работы
[1],
вследствие того
,
что пред
-
ложенный подход основан на анализе большого количества исходных
текстов программ
,
содержащих общедоступный код
,
который исполь
-
зуется в
UNIX-
подобных системах
,
разработанная система позволяет
точно определить атаки
,
направленные на увеличение привилегий
.
Гибкость синтаксиса оболочек затрудняет определение наличия ата
-
кующего кода в модулях из состава оболочек
.
Правильно идентифицировать модули
,
входящие непосредственно
в состав оболочки
,
сложнее
,
чем модули
,
созданные на языке СИ
.
Исходные тексты
,
созданные средствами
(
скриптами
)
оболочек
,
ме
-
нее структурированы
,
чем исходные тексты
,
созданные на языке СИ
,
поэтому перечень характеристик и время их обработки больше
.
Как отмечается в работе
[1],
рассмотренная система для опреде
-
ления атак не является достаточно совершенной и атакующий может
обойти ее
.
Например
,
нападающий может снизить значение статистики
появления в файле определенной характеристики
.
Для этого он может
создать в файле большое количество исходного текста
,
которое не соот
-
ветствует ни одной характеристике
,
разбить атакующий код на подпро
-
граммы и поместить эти подпрограммы в различные файлы
.
Он также
может создать небольшую программу
,
которая будет удалять характе
-
ристики в файле
,
не позволяя проводить его дальнейший анализ
.
Для устранения недостатков системы авторы работы
[1]
планиру
-
ют провести исследования с целью расширения количества регулярных
выражений и проведения мультифайлового анализа
.
В работе
[1]
рекомендовано несколько способов использования рас
-
смотренной системы
.
При применении сетевых систем обнаружения
вторжения она может быть использована для мониторинга данных
,
пе
-
редаваемых
FTP-, www-
сервисами и средствами
e-mail.
Для систем обнаружения вторжения в хостах сканирование может
периодически выполняться для файлов
,
находящихся на диске
,
или
данных входящего трафика
.
Например
,
в операционной системе
FreeBSD
периодически загру
-
жаются на исполнение средства проверки безопасности файловой си
-
стемы
.
В этом случае может использоваться рассмотренная система
.
Возможна также доработка ядра операционной системы с целью
сканирования файла
,
когда запрошена операция его записи на диск
.
ISSN 0236-3933.
Вестник МГТУ им
.
Н
.
Э
.
Баумана
.
Сер
. "
Приборостроение
". 2004.
№
4 105