once
(
определяет появление регулярного выражения в составе исходно
-
го текста
);
схему
count
: (
определяет количество появлений регулярного
выражения
);
схему
normalized
: (
определяет нормализованное значение
количества появлений регулярного выражения по отношению к длине
исходного текста
—
результат деления количества появлений на длину
в байтах кода файла
).
Детектор атаки строится путем создания большого набора тро
-
ек
,
соответствующих определенному языку
.
В дальнейшем процесс
выявления характеристик
(feature-selection process)
определяется эти
-
ми тройками
(
подробное описание этого процесса изложено в работе
[15]).
Из всех
N
характеристик выбирается одна
,
которая соответствует
самой малой величине ошибки
.
Эта характеристика формирует одно
-
размерный вектор
.
После этого из оставшихся
N
−
1
характеристик вы
-
бирается следующая
,
соответствующая минимальной ошибке
.
Таким
образом
,
формируется двухразмерный вектор
.
Процесс продолжается
до тех пор
,
пока не рассмотрены все характеристики и не определен
вектор размерностью
N
.
Вектор
,
который минимизирует общую ошиб
-
ку
,
называется
“
лучшим
” (best)
и используется в дальнейшем при детек
-
тировании атаки
.
Авторами работы
[1]
использовался разработанный
ими пакет программ
LNKnet [16, 17].
При вычислении статистических
данных использовалось правило нормализации
.
Детектор атаки для исходных текстов
,
написанных на языке СИ
.
Для построения детектора в работе
[1]
были определены
19
типов
характеристик
,
каждая из которых соответствовала некоторому типу
атаки
.
В первую очередь
,
учитывалось присутствие в исходном тек
-
сте слов
“
реализовать
” (“exploit”)
или
“
уязвимость
” (“vulnerability”)
и
строилось регулярное выражение
,
с помощью которого исходный текст
сканировался для определения наличия этих слов в комментариях
.
Авторы работы
[1]
пришли к выводу
,
что при атаке
,
направленной
на получение привилегий
,
используется создание и ликвидация связей
с другими файлами
.
Для сканирования текста с целью определения на
-
личия функций
link, unlink, rmdir
в кодовой категории
code-sans-strings
в работе
[1]
было предложено соответствующее регулярное выражение
.
Поскольку атакующие при реализации атаки
,
направленной на уве
-
личение привилегий
,
могут использовать переменную среду
(environ-
ment variable),
в работе
[1]
было предложено регулярное выражение
для определения функций
,
которые ее изменяют
,
и использовано для
сканирования кодовой категории
code-sans-strings
.
Атакующие
,
как правило
,
пытаются загрузить для выполнения вре
-
доносный код
(malicious code)
в привилегированных программах
.
В ра
-
боте
[1]
предложены регулярные выражения для его определения
(
ли
-
бо исполняемый код
,
встроенный в кодовые категории
code-sans-strings
ISSN 0236-3933.
Вестник МГТУ им
.
Н
.
Э
.
Баумана
.
Сер
. "
Приборостроение
". 2004.
№
4 101