чение часов или дней
).
В течение этого времени система обнаружения
вторжения может выработать сигнал тревоги
.
Атака
,
направленная на увеличение привилегий
(privilege-increasing
attack),
может быть произведена всего за несколько шагов в течение
короткого интервала времени
.
В этом случае системами обнаружения
вторжения
,
основанными на обработке данных аудита
,
атака обнаружи
-
вается с задержкой по времени
.
Это связано с тем
,
что необходимая для
выработки сигнала тревоги информация накапливается в файлах аудита
не сразу
,
а с течением времени
.
Нападающий
(attacker)
может исполь
-
зовать это время в целях получения дополнительных привилегий
.
Среди атак
,
направленных на увеличение привилегий
,
можно выде
-
лить два типа атак
.
В случае атаки первого типа целью является обес
-
печение доступа в систему неавторизованного пользователя
;
в случае
атаки второго типа осуществляется предоставление прав доступа при
-
вилегированного пользователя обычному пользователю
.
Как правило
,
при нападении вначале на атакованном хосте
(host)
используют авторизованный доступ в систему
.
Для того чтобы произ
-
вести атаку
,
нарушитель должен выполнить следующие действия
:
за
-
грузить или создать исходный текст программы
,
компилировать его и
затем использовать для атаки
.
Не все действия могут быть выполнены на атакованной машине
.
На
-
падающий может создать и компилировать атаку на другом компьюте
-
ре
,
а затем загрузить исполнительный код на атакованном хосте
.
Од
-
нако
,
с точки зрения надежности и безотказного выполнения испол
-
нительного модуля с атакующим кодом
,
целесообразно проводить его
компиляцию и выполнение на одном компьютере
.
В силу этого атаку
-
ющий может использовать исходный текст программы на атакованной
машине
.
В результате исследований
,
проведенных в работе
[1],
было опре
-
делено
,
что атакующий исходный код
,
разработанный либо на языке
СИ
,
либо средствами из состава оболочек
,
отличается от нормального
и может быть точно определен в исходном тексте программы
.
Системы обнаружения вторжения
,
в основном
,
строятся на основе
методов машинного обучения и
,
в частности
,
нейронных сетей
.
Иссле
-
дования таких систем направлены на обнаружение атак после того
,
как
они произошли
.
Средства обнаружения вирусов определяют атаки пе
-
ред тем
,
как они начали выполняться
.
Работа
[1]
в большей степени
связана с исследованием по обнаружению вирусов
.
И в системах обнаружения вторжения
,
и при обнаружении вирусов
общим алгоритмом является метод проверки сигнатуры
,
при котором
осуществляется сканирование модулей или выполняемых действий с
94 ISSN 0236-3933.
Вестник МГТУ им
.
Н
.
Э
.
Баумана
.
Сер
. "
Приборостроение
". 2004.
№
4