Probabilistyczne wykrywanie anomalii z wykorzystaniem analizy odwołań systemowych

• Autorzy: Król P. , Maciołek P. , Koźlak J.
• Języki publikacji: PL

Abstrakty

PL

Prezentujemy wykorzystanie probabilistycznego podejścia (PAD) do wykrywania anomalii. Stworzony przez nas system, poprzez analizę wybranych wywołań systemowych (wraz z ich argumentami), monitoruje wybrane aplikacje w środowisku Linux. Poprzez porównywanie ich działania z wcześniej zebranym profilem jest w stanie określić "normalność" ich zachowania. W dalszej części zamieszczono wyniki prezentujące praktyczną zdolność do rozpoznawania naruszeń bezpieczeństwa w spotykanych w rzeczywistym świecie atakach na systemy informatyczne.

Słowa kluczowe

PL

wykrywanie anomalii; IDS; wywołania systemowe; Linux

• Wydawca: Wydawnictwo Politechniki Częstochowskiej
• Czasopismo: Informatyka Teoretyczna i Stosowana
• Rocznik: 2006
• Tom: R. 6, nr 10
• Strony: 243--255
• Opis fizyczny: Bibliogr. 18 poz., rys., tab.

Twórcy

autor

Król P.

autor

Maciołek P.

autor

Koźlak J.

• Wydział Elektrotechniki, Automatyki, informatyki i Elektroniki, Akademia Górniczo-Hutnicza al. Mickiewicza 30,30-059 Kraków

Bibliografia

• [1] Sekar R., Bendre M., Dhurjati D., Bollineni P., Fast automaton-based method for detecting anomalous program behaviors, Proceedings of the 2001 IEEE Symposium on Security and Privacy, 2001.
• [2] Feng H., Kolesnikov O.M., Fogla P., Lee W., Gong W., Anomaly detection using call stack information, Proceedings of the 2003 JEEE Symposium on Security and Privacy, 2003.
• [3] Apache webserver 2.0.52 DOS vulnerability - CAN-2004-0942, http://www.cve.mitre.org/cgi-bin/cvename.cgi? name=CAN-2004-0942
• [4] Cdrdao Insecure File Handling; http://www.securiteam.com/unixfocus/5PP0FIP61I.html
• [5] Burdach M., Detecting Kernel-level compromises with gdb, http://www.securityfocus.com/infocus/1811
• [6] Apap F., Honig A., Hershkop S., Eskin E., Stolfo S., Detecting malicious software by monitoring anomalous windows registry access, Proceedings of Fifth International Symposium of Recent Advances in Intrusion Detection (RAID), 2002.
• [7] Friedman N., Singer Y., Efficient bayesian parameter estimation in large discrete domains, Neural Information Processing Systems (NIPS 98), 1998.
• [8] Hershop S., Bui L.H., Ferster R., Stolfo S.J., Host-based anomaly detection using wrapping file systems, Columbia University Tech Report April 2004.
• [9] Hofmeyera S.A., Forrest S., Somayaji A., Intrusion detection using sequences of system calls, Journal of Computer Security 1998, August 18.
• [10] Eschenauer L, et al., ImSafe - host based anomaly detection, http://imsafe.source-forge.net/
• [11] Love R., Kernel locking techniques, http:llwww.linuxjournal.com/article/5833
• [12] Lee W., Stolfo S.J., Chan P.K, Learning patterns from UNIX process execution traces for intrusion detection, AAAI Workshop on Al Approaches to Fraud Detection and Risk Management, 1997.
• [13] Heller K.A., Svore K.M., Keromytis A.D., Stolfo S.J., One class support vector machines for detecting anomalous windows registry accesses, Proceedings of the ICDM Workshop on Data Mining for Computer Security (DMSEC), 2003.
• [14] Eskin E., Probabilistic anomaly detection over discrete records using inconsistency checks, Columbia University, Computer Science Technical Report, 2002.
• [15] Akpolat S., Remote buffer overflow in Prozilla, 25.10.2004, http//www.securiteam.com/exploits/6W00O2ABPM.html
• [16] SANS Institute, The twenty most critical Internet security vulnerabilities, http://www.sans.org/top20
• [17] Dąbrowski P., Systemy wykrywające naruszenie bezpieczeństwa w systemie operacyjnym w oparciu o analizę ciągów odwołań systemowych, praca dyplomowa pod opieką dra inż. J. Koźlaka, Katedra Informatyki AGH, Kraków 2004.
• [18] Król P., Maciołek P., Wykrywanie i analiza nietypowych zachowań systemu komputerowego, praca dyplomowa pod opieką dra inż. J. Koźlaka, Katedra Informatyki AGH, Kraków 2005.