На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера

№ 4 июль-август 2009 г.
Тема номера:
ОБНАРУЖЕНИЕ ВТОРЖЕНИЙ И АНОМАЛИЙ В ГИГАБИТНЫХ СЕТЯХ


ИСПОЛЬЗОВАНИЕ ЧАСТОТНОГО АНАЛИЗА ВСТРЕЧАЕМОСТИ ИНСТРУКЦИЙ
ДЛЯ ОБНАРУЖЕНИЯ ПОЛИМОРФНОГО ИСПОЛНИМОГО КОДА
В СЕТЕВОМ ТРАФИКЕ

Д. Гамаюнов, Э. Торощин
Лаборатория вычислительных комплексов, факультет ВМК МГУ им. М. В. Ломоносова


Предыдущая статьяСледующая статья

В статье рассматривается проблема обнаружения вредоносного исполнимого кода в сетевом трафике на основе выявления NOP-эквивалентных участков инструкций IA32, которые используются в большинстве реализаций атак и сетевых червей для повышения вероятности успешного выполнения на атакуемом узле. Предложен новый метод обнаружения NOP-зон на основе анализа частоты встречаемости инструкций IA32 с использованием методов машинного обучения. Эксперименты с реализацией предложенного метода, генераторами шеллкодов и NOP-зон из состава Metasploit Framework и CLET демонстрируют точность порядка 99,999 % на всех типах NOP-следов, а также близкий к нулю уровень ложных срабатываний на типовых «нормальных» данных, включая программы в ELF-формате, мультимедийные данные и обычный текст.

В настоящее время одной из наиболее острых проблем в компьютерных сетях является широкое распространение и экстенсивный рост ботнетов, которые используются для самой разнообразной криминальной деятельности: организации DDoS-атак, фишинга, нелегального хостинга и т. д. По оценкам издания Computer Economics, суммарный ущерб от трех эпидемий сетевых червей Code Red, Nimda и Slammer превысил 4 млрд долл. только в 2001 году [8]. Из недавних событий такого рода можно отметить расцвет ботнета StormNet в 2007–2008 годах и недавнюю эпидемию червя Kido/Conficker в январе 2009.

Среди методов борьбы с ботнетами в последние годы активно развиваются методы обнаружения вредоносного исполняемого кода в сетевом трафике, позволяющие обнаруживать распространение сетевых червей во время проникновения на уязвимые узлы, что является первым и необходимым этапом строительства ботнета. Данное направление представляется перспективным, так как позволяет предпринимать профилактические меры вместо того, чтобы бороться с последствиями явления. Для проникновения на уязвимый узел червь использует так называемый «шеллкод» – последовательность машинных инструкций, выполняемую на атакуемом узле за счет эксплуатации уязвимости операционной системы или прикладного программного обеспечения.

< ... >


 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»


Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        (812) 347-74-12, (921) 958-25-50


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

 

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100