Экспериментальный анализ обнаружения вредоносных программ с использованием экструзии.
САННИ БЕХАЛ
Доцент кафедры информатики и инженерии, государственного университета инженерии и технологий имени Шаид Багах Синха. Ферозепур, Индия. Email: sunnybehal@rediffmail.com
КРИШАН КУМАР
Адъюнкт-профессор кафедры информатики и инженерии, государственного университета инженерии и технологий имени Шаид Багах Синха. Ферозепур, Индия. Email: k.saluja@rediffmail.com
АБСТРАКЦИЯ
Сегодня, всеобщая защита компьютерной сети от вредоносных программ чрезвычайно важна. Растущее использование интерактивных интернет-приложений в таких областях, как торговля акциями, медицина, прогнозирование погоды, банки, бизнес, образование, оборона, исследования и так далее, вызвал рост рисков и возможностей неправомерного использования компьютерных сетей. За последние десятилетие, вредоносное программное обеспечение или вредоносное ПО в виде вирусов, червей, троянских коней, ботнетов, стали основным источником большинства угроз используемых для сканирования, действий распределенного отказа в обслуживании (DDoS) и прямых атак, происходящих из интернета. Ряд решений были предложены в литературе, чтобы защитить от таких угроз вредоносных программ. В большинстве этих решений для обнаружения используется концепция входящего трафика. Основная цель этой статьи – выработать прагматичное решение для защиты сети вредоносного ПО, исследуя осуществимость концепции анализа только исходящего трафика т.е. экструзия трафика вместо вторжения. Для проверки решения были проанализированы четыре различных типа вредоносных программ.
Ключевые слова: Вредоносное, DDoS, бот, ботнет, экструзия, С&С сервер, зомби.
I. ВВЕДЕНИЕ
За последнее десятилетие, вредоносное программное обеспечение или вредоносные программы, стали основным источником большинства угроз, используемых для сканирования действий(распределённых) отказов в обслуживании (DOS) и прямых атак (14 15), происходящих от вредоносных программ, таких как трояны и ботнеты, обычно используют уязвимые системы программные ошибки или установленные хакерами бэкдоры (чёрный вход), которые позволяют устанавливать вредоносный код на компьютеры без согласия или ведома владельцев [2]. Для установки вредоносного кода, они используют различные методы сканирования, как указано в (2). Для того, чтобы защитить сеть от этого огромного количества угроз вредоносных программ, необходима сетевая система обнаружения вторжений [20]. Данные этого хоста могут быть недостаточны для правильной идентификации таких угроз. Идеальная сетевая система обнаружения вторжений (NDIS) должна сопоставлять данные с максимально возможного количества хостов для обнаружения атак. Но проблем, связанных с использованием сетевой системы обнаружения вторжений, как упоминалось [1, 3] как и проблемы ложных срабатываний отрицательных результатов, поскольку объем данных, которые должна анализировать система мониторинга, очень велика. Для преодоления таких проблем, связанных с использованием NIDS, для защиты сетей от атак вредоносного ПО, существует лучшее решение. Анализ исходящего трафика, т.е. экструзивный трафик, может быть полезен для обнаружения атак вредоносного ПО, поскольку предполагается, что основное устройство всегда будет каким-либо образом реагировать на заражение или проникновение. Эту реакцию можно обнаружить путём мониторинга исходящего трафика, т.е. трафика, который выходит из сети, и путём обнаружения внутрисетевого трафика сети, значит трафик внутри сети.
Жизненный цикл большинства современных активных вредоносных программ (обычно трояны и ботнеты) соответствуют рисунку 1. Как показано, заражение вредоносным ПО начинается с потока обмена данными между внешними и внутренними системами, который может включать внутреннее сканирование или прямое входящее эксплуатирование. Когда внутреннее устройство успешно скомпрометирован, новое скомпрометированное устройство загружает и создаёт полный вредоносный двоичный экземпляр программы. После загрузки и запуска полного двоичного экземпляра вирусного ПО, существует два возможных пути его следования. При первом способе, называемым вирусным ПО типа 1, зараженный узел, называемый зомби, немедленно переходит к сканированию исходящих сообщений для распространения атаки, что представляет собой классическое заражение вирусным ПО, тогда как при втором способе, называемым типа 2, заражённый узел переходит на C&C – сервер. Координации перед попыткой самораспространения или выполнения атак. Причина, по которой обнаружение вытеснения рассматривается в этом документе, заключается в том, что обнаружение вторжений – это только половина решения по защите сети от различного рода вредоносных программ. С большой вероятностью, если атака выйдет за пределы сети или даже будет исходить из её границ, важно следить за всей сетью, чтобы сделать сеть более безопасной. Системы обнаружения вытеснения добавляют симметрии системам обнаружения вторжений благодаря своей способности отслеживать и обнаруживать подозрительный трафик, выходящий из сети или подозрительные соединения из одной локальной системы в другую. Также возможно, что внешний или внутренний объект скомпрометировал внутреннюю систему и использует её для запуска атак на другую систему в сети. Внутренние действия этой системы могут быть заметны только сетевому администратору, который знает свою сеть.
Наш вклад: Наш основной вклад в эту статью заключается в том, чтобы (1) предоставить альтернативный подход к мониторингу сети, который фиксируется на обнаружении заражений вредоносным ПО посредством мониторинга исходящего трафика, т.е. вытеснения вместо трафика вторжений (2) для ускорения процесса по сравнению с традиционной системой обнаружения вторжений и в том, чтобы сделать сеть более безопасной (3).
Оставшаяся часть этой статьи изложена следующим образом. В разделе II обсуждается соответствующая работа; Раздел III посвящен формулировке методологии; В разделе IV обсуждается экспериментальная установка; В разделе V обсуждаются различные полученные результаты, а последний раздел завершает работу, подчёркивая масштабы будущей работы.
Do'stlaringiz bilan baham: |