помощью известных сигнатур атак
.
В некоторых системах используют
-
ся характеристики
,
описывающие состояния системы
(
шаги
),
которые
соответствуют атаке
.
Работа
[1]
уникальна тем
,
что в ней представлена система для опре
-
деления в исходном тексте программы кода атаки
,
направленного на
увеличение привилегий в
UNIX-
подобной системе
.
Принцип функци
-
онирования этой системы заключается в следующем
.
Во входящем по
-
токе
,
полученном при сканировании файла
,
определяется запрос
write
(“
запись
”).
После этого файл
(
модуль
)
классифицируется по типу язы
-
ка
,
на котором он написан
:
языка СИ
,
языка из состава оболочки или
другого
.
В последнем случае
,
если классификатор не может распознать
тип языка
,
дальнейший анализ прекращается
.
Если язык распознан
,
дальнейший анализ выполняется детектором атаки для определенного
языка
.
В систему могут быть добавлены дополнительные детекторы
для расширения ее возможностей
.
Каждый детектор включает в себя две подсистемы
,
работающие по
-
следовательно
:
экстрактор характеристики
,
который формирует вектор
нормализованной статистики характеристики
,
и классификатор атаки
на основе нейронной сети
,
который передает дополнительную инфор
-
мацию в систему обнаружения вторжения
,
когда атака распознана
.
При
функционировании системы и выполнении модуля в данном файле за
-
прос
write
блокируется
,
и система обнаружения вторжения вырабаты
-
вает тревогу
.
Предварительные результаты применения описываемого метода
,
которые показывают эффективность данного подхода
,
опубликованы в
работе
[2].
Работа
[1],
в основном
,
посвящена дальнейшим исследова
-
ниям по построению точных классификаторов языка и атаки
.
В ходе
этих исследований был значительно расширен
(
по сравнению с резуль
-
татами работы
[2])
состав
“
обучающего
”
и
“
испытательного
”
наборов
.
Число модулей с атакующим кодом было увеличено почти в десять
раз
.
При этом
“
испытательный
”
набор включал содержащие атакую
-
щий код исходные тексты программ
,
созданные после проведенного
анализа
“
обучающего
”
набора
,
что позволило оценить эффективность
предложенного метода обнаружения новых атак
.
На основе нового
“
обучающего
”
набора расширен перечень характеристик и модифици
-
рован метод нормализации статистик
.
Система
,
предлагаемая в работе
[1],
позволяет снизить уровень лож
-
ных тревог в два раза и уровень пропусков в шесть раз
(
по сравнению
с результатами
,
представленными в работе
[2]).
Для оценки скорости
,
с которой осуществляется определение ата
-
кующего кода
,
авторами работы
[1]
создана интегральная система
.
ISSN 0236-3933.
Вестник МГТУ им
.
Н
.
Э
.
Баумана
.
Сер
. "
Приборостроение
". 2004.
№
4 95