О подходе к обнаружению компьютерных атак, направленных на увеличение привилегий - page 8

файл был определен как нераспознанный
, 3389
файлов были опреде
-
лены правильно
.
Общая ошибка определения составляет
0,04%.
Файл
,
неправильно определенный классификатором языка как со
-
зданный на языке СИ
,
входил в состав большого приложения и содер
-
жал единственную строку кода
,
написанного на языке
C
И
.
Он также со
-
держал некоторые зарезервированные слова
,
являвшиеся словами ан
-
глийского языка
.
Аналогично
,
файл
,
неправильно определенный клас
-
сификатором как входящий в состав оболочки
,
не содержал каких
-
либо
команд
,
используемых в средствах оболочки
,
и комментариев
.
Система функционировала достаточно быстро
.
В эксперименте ис
-
пользовался компьютер
SPARC Ultra 60
с тактовой частотой
450
МГц
.
При определении языка для обработки одного килобайта данных тре
-
бовалось
90
мкс
.
Детектирование атаки
.
Как только тип языка исходного текста
определен
,
необходимо выполнить проверку текста на присутствие ха
-
рактеристик
,
соответствующих файлам
,
содержащим атакующий код
.
Извлечение характеристик
(feature extraction)
осуществляется в два
этапа
.
На первом этапе исходный текст разбивается на части
(
кодовые
категории
),
каждая из которых проверяется своим набором характери
-
стик
,
на втором
определяются статистики появления характеристик
(feature statistics).
Статистики появления каждого типа характеристик
(feature type)
определяются так называемым экстрактором характери
-
стики
(feature extractor).
Каждый тип характеристики представляет собой регулярное выра
-
жение
(regular expression),
с помощью которого сканируется каждая ко
-
довая категория
(code category)
исходного текста
.
Каждый раз
,
когда ре
-
гулярное выражение находится в исходном тексте
,
подсчитывается ста
-
тистика появления характеристик по определенной схеме кодирования
(encoding scheme).
Каждый тип характеристики может быть представлен набором тро
-
ек
(set of triples):
регулярное выражение
,
кодовая категория
,
схема коди
-
рования
(
регулярное выражение применяется к определенной кодовой
категории с использованием определенной схемы кодирования
).
Боль
-
шинство типов характеристик описываются одной тройкой
,
но могут
содержать информацию из различных кодовых категорий и описывать
-
ся набором троек
.
Вначале экстрактор разделяет исходный текст на четыре кодовых
категории
:
comments
(/
А
comment
/),
strings
(“A string”),
code-sans-
strings
(printf( );),
code
(printf(“A string”);).
Первые три кодовые катего
-
рии не связаны между собой
,
четвертая включает предыдущие две
.
Когда регулярное выражение применяется в определенной кодовой
категории
,
оно использует одну из следующих схем кодирования
:
схему
100 ISSN 0236-3933.
Вестник МГТУ им
.
Н
.
Э
.
Баумана
.
Сер
. "
Приборостроение
". 2004.
4
1,2,3,4,5,6,7 9,10,11,12,13,14
Powered by FlippingBook