О подходе к обнаружению компьютерных атак, направленных на увеличение привилегий - page 6

вой строке символов
“#!”
и подтверждения их принадлежности составу
оболочки
.
При этом каждый файл проверялся на уникальность
.
Набор
испытательных
программ
,
содержащих атакующий код
,
состоял из
33
файлов для атак
,
направленных на увеличение привиле
-
гий
(
эти файлы были получены с тех же сайтов
,
что и файлы
,
напи
-
санные на языке СИ
),
а также программ
,
заявленных с
16.10.2000
по
31.12.2000 (BugTraq).
Дополнительные файлы
.
С целью проверки реакции системы на
иные типы файлов в дополнение к массивам
,
описанным выше
,
ис
-
пользовались
545
файлов
,
которые не являлись написанными на языке
СИ или созданными средствами
,
входящими в состав оболочек
.
Эти
файлы включали обработанные архиватором и компрессором файлы
(archived and compressed files)
из набора
испытательных
программ
,
написанных на языке СИ и содержащих нормальный код
.
При созда
-
нии этих файлов использовались программные средства
TAR, GNU
gzip, bzip, compress, zip.
В состав каждого массива также входили файлы документов специ
-
ального формата
(html, postscript, pdf, UNIX mbox)
и зашифрованные
файлы
[14].
Общий обзор системы
.
С целью сокращения вычислений вначале
определялся тип языка входящего потока
.
Применение такого подхода
может привести к пропуску атаки
,
но
,
вероятно
,
не должно привести к
увеличению числа ложных тревог
.
После того как язык определен
,
используется детектор атаки
,
соот
-
ветствующий этому языку
.
Он извлекает характеристики и классифи
-
цирует исходный код как нормальный или вредоносный
.
Если наличие атаки определено
,
об этом оповещается система об
-
наружения вторжения
.
В дальнейшем эта информация используется та
-
ким образом
,
чтобы пользователь мог распознать атакующие действия
и предполагаемую цель атаки
.
Определение языка
,
на котором написаны файлы
,
содержащие
атакующий код
.
Определение языка осуществлялось системой
,
по
-
строенной на основе правил
.
При этом использовалось описание струк
-
туры и синтаксиса анализируемого языка
.
Принципы построения правил определения следующие
.
Исследуе
-
мый исходный текст классифицировался как созданный на языке
C
И
в случае присутствия в нем директивы препроцессора языка СИ
,
ком
-
ментария или зарезервированного слова
(
не являющегося словом ан
-
глийского языка или оболочки
),
которые используются при написании
программ в среде СИ или СИ
++ (C++).
Исходный текст классифицировался как текст
,
созданный с помо
-
щью средств
,
входящих в состав оболочки
,
если в нем обнаружены
98 ISSN 0236-3933.
Вестник МГТУ им
.
Н
.
Э
.
Баумана
.
Сер
. "
Приборостроение
". 2004.
4
1,2,3,4,5 7,8,9,10,11,12,13,14
Powered by FlippingBook