Экспериментальный анализ обнаружения вредоносных программ с использованием экструзии. Санни бехал

Download 22,11 Kb.

bet	4/4
Sana	27.03.2022
Hajmi	22,11 Kb.
	#512466

1 2 3 4

Bog'liq
2 5390980144632435424

6. Тип атаки.
VI. ЗАКЛЮЧЕНИЕ И НАЗНАЧЕНИЕ ДАЛЬНЕЙШЕЙ РАБОТЫ

4. Управляемый траффик. Включает в себя набор команд, фактически выполняемых злоумышленником и скомпрометированными устройствами.
5. Тип используемых протоколов. Включает в себя идентификацию различных протоколов, используемых вредоносной программой при общении с другими скомпрометированными устройствами и C&C-серверами
6. Тип атаки. Включает в себя тип атакующего трафика, который запускает вредоносное ПО.
7. Необычные порты. Сюда входит идентификация различных необычных портов, используемых во время связи, что может быть идентификатором отклонения от типов служб, работающих в сети.
Результаты тестового прогона сведены в Таблицу-1. В тестовой среде мы могли идентифицировать все те типы вредоносных программ, которые следуют последним трём состояниям жизненного цикла заражения вредоносным ПО R-S-T и R-T, используя предложенный подход. Из результатов видно, что после установки вредоносного кода на какой-либо компьютер сниффер-1 способен впоследствии обнаружить весь подозрительный исходящий траффик зараженного устройства, тогда как сниффер-2 способен обнаружить начальные состояния, также процесс заражения вредоносным ПО.

VI. ЗАКЛЮЧЕНИЕ И НАЗНАЧЕНИЕ ДАЛЬНЕЙШЕЙ РАБОТЫ
В данной работе мы проанализировали реализуемость концепции анализа исходящего трафика для обнаружения известных вредоносных программ с помощью двух снифферов. Датчик анализатора-1 содержит только сигнатуры исходящего трафика, тогда как датчик анализатора-2 содержит все сигнатуры входящего и исходящего трафика. Основываясь на различных показателях трафика, определенных ранее, мы смогли обнаружить примеры действий вредоносного ПО в тестовой среде, проанализировав как исходящий трафик, так и трафик вторжений. Предлагаемый подход хорошо зарекомендовал себя при обнаружении всех видов вредоносных программ, которые следуют по пути R-S-T и R-T в процессе жизненного цикла заражения вредоносным ПО. Время отклика сниффера-1 невелико, так как ему приходится искать в базе данных правил, содержащих меньшее количество правил, чем у сниффера-2. Предлагаемая установка может обнаруживать только известные типы вредоносных программ и не может быть применима к новым вредоносным программам, поскольку предлагаемый подход зависит от доступного набора сигнатур, как и в случае со всеми антивирусными продуктами. Еще одним недостатком предлагаемой установки является то, что она не может обнаруживать состояния процесса заражения вредоносным ПО, основанные на вторжении, т. е. состояния P-Q, которые соответствуют шагам входящего сканирования и заражения.
Поскольку большинство антивирусных продуктов анализируют входящий трафик, т. е. трафик, поступающий из-за пределов сети или компьютерной системы, для обнаружения вредоносных программ, остается пробел для защиты всей сети, поскольку они не учитывают внутрисетевой и исходящий трафик, поэтому необходимо установить систему обнаружения экструзии, а также систему обнаружения вторжений для мониторинга исходящего трафика, который в противном случае может остаться неопознанным.
Таким образом, делается вывод, что только обнаружения вытеснения или вторжения недостаточно для обеспечения безопасности сети, а скорее эти два подхода дополняют друг друга, чтобы сделать сеть более защищенной от угроз вредоносных программ.

Download 22,11 Kb.

Do'stlaringiz bilan baham:

1 2 3 4