Probabilistic anomaly detection based on system calls analysis

• Autorzy: Maciołek P. , Król P. , Koźlak J.

Warianty tytułu

PL

Probabilistyczne rozpoznawanie anomalii bazujące na analizie wywołań systemowych

• Języki publikacji: EN

Abstrakty

EN

We present an application of probabilistic approach to the anomaly detection (PAD). By analyzing selected system calls (and their arguments), the chosen applications are monitored in the Linux environment. This allows us to estimate "(ab)normality" of their behavior (by comparison to previously collected profiles). We've attached results of threat detection in a typical computer environment.

PL

W artykule przedstawiono zastosowanie propabilistycznego podejścia do rozpoznawania anomalii (PAD). Poprzez analizę wybranych wywołań systemowych (oraz ich argumentów), monitorowane są aplikacje działające pod kontrolą Linux. Pozwala to na oszacowanie (a)normalności ich zachowania (poprzez porównanie z poprzednio zebranymi profilami). Załączone są rezultaty rozpoznawania zagrożeń w typowym środowisku komputerowym.

Słowa kluczowe

EN

anomaly detection; IDS; system calls; Linux

PL

rozpoznawanie anomalii; IDS; wywołania systemowe; Linux

• Wydawca: Wydawnictwa AGH
• Czasopismo: Computer Science
• Rocznik: 2007
• Tom: Vol. 8, Spec. Ed
• Strony: 93--108
• Opis fizyczny: Bibliogr. 23 poz., rys., wykr., tab.

Twórcy

autor

Maciołek P.

• Ph.D. Student EAIiE, AGH-UST, Kraków, Poland

autor

Król P.

• EAIiE, AGH-UST, Kraków, Poland

autor

Koźlak J.

• Institute of Computer Science, AGH-UST, Kraków, Poland

Bibliografia

• [1] Sekar E., Bendre M., Dhurjati D., Bollineni P.: A Fast Automaton-Based Method for Detecting Anomalous Program Behaviors. Proc. of the 2001 IEEE Symposium on Security and Privacy, 2001
• [2] Feng H. H., Kolesnikov O. M., Fogla P., Lee W., Gong W.: Anom.aly Detection Using Call Stack Information. Proc. of the 2003 IEEE Symposium on Security and Privacy, 2003
• [3] Apache webserver 2.0.52 DOS vulnerability - CAN-2004-0942. http://www.eve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0942
• [4] Cdrdao Insecure File Handling. http://www.securiteam.com/unixfOCUS/5PP0F1P61I.html
• [5] Warrender Ch., Forrest S., Pearlmutter B.: Detecting Intrusions Using System Calls: Alternative Data Models. Proc. of the 1999 IEEE Symposium on Security and Privacy, 1999
• [6] Burdach M.: Detecting Kernel-level Compromises With gdb. http://www.securityfocus.com/infocus/1811
• [7] Apap F., Honig A., Hershkop S., Eskin E., Stolfo S.: Detecting Malicious Software by Monitoring Anomalous Windows Registry Access. Proc. of Fifth International Symposium of Recent Advances in Intrusion Detection (RAID), 2002
• [8] Friedman N., Singer Y.: Efficient bayesian parameter estimation in large discrete domains. Neural Information Processing Systems (NIPS 98), 1998
• [9] Hershkop S., Bui L. H., Ferster R., Stolfo S. J.: Host-based Anomaly Detection Using Wrapping File Systems. Columbia University Tech Report April 2004
• [10] Hofmeyera S. A., Forrest S., Somayaji A.: Intrusion Detection using Sequences of System Calls. Journal of Computer Security, August 18th, 1998
• [11] Eschenauer L. et al.\ ImSafe - Host Based Anomaly Detection. http://imsafe.sourceforge.net/
• [12] Love R.: Kernel Locking Techniques. http://www.linuxjournal.com/article/5833
• [13] Lee W., Stolfo S. J., Chan P. K.: Learning patterns from UNIX process execution traces for intrusion detection. AAAI Workshop on AI Approaches to Fraud Detection and Risk Management, 1997
• [14] Heller K. A., Svore K.M., Keromytis A.D., Stolfo S. J.: One Class Support Vector Machines for Detecting Anomalous Windows Registry Accesses. Proc. of the ICDM Workshop on Data Mining for Computer Security (DMSEC), 2003
• [15] Eskin E.: Probabilistic anomaly detection over discrete records using inconsistency checks. Columbia University, Computer Science Technical Report, 2002
• [16] Prozilla, http://prozilla.genesys.ro/
• [17] Akpolat S.: Remote Buffer Overflow in Prozilla. http://www.securiteam.com/exploits/6W0002ABPM.html, October 25th, 2004
• [18] SANS Institute: The Twenty Most Critical Internet Security Vulnerabilities, http://www.sans.org/top20
• [19] Linux Kernel Documentation - SpinLocks. http://kernel.org
• [20] SQLite, http://www.sqlite.org
• [21] Dabrowski P.: Systemy wykrywajqce naruszenie bezpieczenstwa w systemie op-eracyjnym w oparciu o analizę ciqgów odwołań systemowych. Krakow, Katedra Informatyki AGH, September 2004
• [22] Mitnick K.: The Art of Deception: Controlling the Human Element of Security. 1st edition, John Wiley & Sons, 2001, ISBN 978-0471237129
• [23] Bovet D. P., Cesati M.: Understanding the Linux Kernel. 2nd Edition, O'Reilly Media, Inc., 2002, ISBN 978-0596002138