О подходе к обнаружению компьютерных атак, направленных на увеличение привилегий - page 4

Исходные данные
,
используемые для построения системы
.
Не
-
обходимо собрать как можно больше образцов исходных текстов про
-
грамм для анализа и построения системы
,
способной определить не
-
большое количество строк
,
содержащих атакующий код
,
среди большо
-
го количества строк
,
содержащих нормальный
.
С этой целью было со
-
брано большое количество программ
,
содержащих нормальный и ата
-
кующий код из открытых проектов
(open-source projects)
и хакерских
сайтов
(hacker web sites).
Эти программы были написаны специалиста
-
ми из различных стран с различными уровнями подготовки
,
стилями
программирования
.
Каждый отдельный файл
,
включенный в массив
,
анализировался экспертом по специальной методике
.
Исходные данные для случая
,
когда исходный текст программ на
-
писан на языке СИ
.
Массив программ
,
содержащих нормальный код
,
состоял из модулей
,
которые выполняли большой набор различных за
-
дач
,
включая некоторые операции
,
которые может выполнять атакую
-
щий
.
В состав этого массива входили программы
,
состоящие как из од
-
ного файла
,
так и из взаимосвязанных модулей
.
Набор
обучающих
программ
,
содержащих нормальный код и со
-
зданных на языке СИ
,
включал в себя
5271
файл
.
В состав этого мас
-
сива входили
:
веб
-
сервер
(apache_1.3.12);
командная оболочка
(bash-
2.04);
небольшие программы
(fileutils-4.0, sh-utils-2.0);
программа обра
-
ботки почты
(sendmail-8.10.0);
инструментарий разработчика
(binutils-
2.10);
компилятор
(flex-2.5.4);
отладчик
(gdb-4.18);
программное обес
-
печение интегральной пользовательской среды
(emacs-20.6);
библиоте
-
ка машинно
-
ориентированных кодов
(glibc-2.1.3).
Набор
испытательных
программ
,
содержащих нормальный код
,
включал в себя
3323
файла
,
которые были получены после разра
-
ботки классификатора
.
В состав этого массива входили
:
ядро опера
-
ционной системы
(linux-2.4.0-test1);
программа управления компакт
-
диском
(eject-2.0.2);
средства мониторинга использования системы
(top-3.4)
и использования сети
(ntop v.0.3.1);
инструментарий
(ssh-
2.4.0),
обеспечивающий шифрование связей типа
точка
точка
” (peer-
to-peer communications).
Массив программ
,
содержащих атакующий код и созданных на язы
-
ке СИ
,
включал файлы из различных источников сети
Internet.
После
испытаний было обнаружено
,
что один и тот же файл
,
содержащий ата
-
кующий код
,
находился в различных источниках в разной форме
.
На
-
пример
,
текст программы был один и тот же
,
а секции комментариев
различные
.
Анализ программ
,
содержащих атакующий код
,
показал
,
что не все
исходные тексты этих программ работоспособны
.
Во многих случаях
96 ISSN 0236-3933.
Вестник МГТУ им
.
Н
.
Э
.
Баумана
.
Сер
. "
Приборостроение
". 2004.
4
1,2,3 5,6,7,8,9,10,11,12,13,...14
Powered by FlippingBook