Экспериментальный анализ обнаружения вредоносных программ с использованием экструзии. Санни бехал

Download 22,11 Kb.

bet	2/4
Sana	27.03.2022
Hajmi	22,11 Kb.
	#512466

1 2 3 4

Bog'liq
2 5390980144632435424

III. МЕТОДОЛОГИЯ

II. СВЯЗАННАЯ РАБОТА
Существует обширная литература по анализу вредоносных двоичных файлов [11, 12, 13]. Возможности использовании вредоносного ПО в преступных или деструктивных целях классифицируются как DDoS-атаки [3, 4], рассылка спама и распространение вредоносного ПО [5, 6] утечка информации [4, 5]. Документ [7] фокусируется на исходящем трафике с намерением гарантировать, что устройство не будет использоваться в качестве средства запуска атаки или ретранслятора вторжений для компрометации других систем. Следовательно, предполагаемая цель использования исходящего трафика различна для упомянутой статьи и настоящей работы. В предполагаемой работе также используются метрики классификаций вредоносных программ, приведённые C. Lussi в статье [3]. Помимо этой работы, существуют другие сетевые инструменты автоматического обнаружения вредоносных программ, такие как Rishi [8], Strayer [9] и BotMiner [10]. Предлагаемые используют жизненный цикл вредоносного ПО, заданный ГУ. Г. В [1]. Новый вид вредоносных программ, называемой ботнетами, уже довольно давно используется для кибер-преступлений, но исследований по обнаружению ботнетов очень мало. Известные методы обнаружения ботнетов, включают в себя приманки и систему IDS с обнаружением сигнатур. Honeynets [16] можно использовать для изучения ботнета, но он может отследить реальное зараженное устройство. Для обнаружения также можно использовать сопоставление сигнатур и поведение существующих вредоносных программ. Система с открытым исходным кодом, таких как Snort [17, 22], Bro [21], может использоваться для обнаружения вредоносных программ. В [18] авторы предположили метод обнаружения вредоносных программ на основе аномалий. Были выявлены пробелы в существующей работе, и предпринимаются усилия по устранению некоторых из этих пробелов в рамках текущей работы.

III. МЕТОДОЛОГИЯ
Предлагаемый подход заключается в анализе активности различных образцов вредоносного ПО, взятых из интернета, с использованием трафика экструзии, а также трафика вторжений на основе заранее определённого набора показателей. Цель состоит в том, чтобы сравнить производительность этих двух подходов, могут ли оба подхода отследить все действия процесса заражения вредоносным ПО или нет. Метод обнаружения вытеснения является многообещающим подходом, поскольку поведение зараженной системы и генерируемый трафик из-за этого заражения часто бросаются в глаза. Предлагаемая методология заключается в том, чтобы брать различные образцы вредоносных программ из Интернета и обнаруживать их действия путем анализа экструзии, а также трафика вторжений в контролируемой среде. Обнаружение вытеснения имеет две отдельные области: (1) обнаружение атак, исходящих изнутри сети (например, скомпрометированные устройства, пытающиеся предпринять дальнейшие атаки, как в случае с ботнетами, вирусами или червями) и (2) обнаружение перемещения данных наружу сети туда, куда она не должна направляться (например, информация о пользователе размещается на FTP-сервере или веб-сервере). Для обнаружения вредоносных программ мы будем использовать два сниффера, которые будут реализованы с помощью snort с открытым исходным кодом [17, 22]. Snort — это система предотвращения и обнаружения сетевых вторжений (IDS/IPS) с открытым исходным кодом, разработанная Sourcefire[22]. Он реализует технику проверки на основе подписи, протокола и аномалий. Сниффер-1, называемый системой обнаружения вторжений (EDS), будет содержать сигнатуры, соответствующие экструзивному трафику, а сниффер-2, называемый системой обнаружения вторжений (IDS), будет содержать сигнатуры, соответствующие всем видам трафика. Цель состоит в том, чтобы сравнить производительность этих двух систем обнаружения, смогут ли они отследить все действия процесса заражения вредоносным ПО или нет. Из четырех образцов вредоносного ПО три образца были взяты из Интернета, а одно вредоносное ПО под названием «Eaters» было разработано для экспериментальных целей.

Download 22,11 Kb.

Do'stlaringiz bilan baham:

1 2 3 4