№ 4 июль-август 2009 г. Тема номера: ОБНАРУЖЕНИЕ ВТОРЖЕНИЙ И АНОМАЛИЙ В ГИГАБИТНЫХ СЕТЯХ
		ИСПОЛЬЗОВАНИЕ ЧАСТОТНОГО АНАЛИЗА ВСТРЕЧАЕМОСТИ ИНСТРУКЦИЙ ДЛЯ ОБНАРУЖЕНИЯ ПОЛИМОРФНОГО ИСПОЛНИМОГО КОДА В СЕТЕВОМ ТРАФИКЕ Д. Гамаюнов, Э. Торощин Лаборатория вычислительных комплексов, факультет ВМК МГУ им. М. В. Ломоносова

В статье рассматривается проблема обнаружения вредоносного исполнимого кода в сетевом трафике на основе выявления NOP-эквивалентных участков инструкций IA32, которые используются в большинстве реализаций атак и сетевых червей для повышения вероятности успешного выполнения на атакуемом узле. Предложен новый метод обнаружения NOP-зон на основе анализа частоты встречаемости инструкций IA32 с использованием методов машинного обучения. Эксперименты с реализацией предложенного метода, генераторами шеллкодов и NOP-зон из состава Metasploit Framework и CLET демонстрируют точность порядка 99,999 % на всех типах NOP-следов, а также близкий к нулю уровень ложных срабатываний на типовых «нормальных» данных, включая программы в ELF-формате, мультимедийные данные и обычный текст.

В настоящее время одной из наиболее острых проблем в компьютерных сетях является широкое распространение и экстенсивный рост ботнетов, которые используются для самой разнообразной криминальной деятельности: организации DDoS-атак, фишинга, нелегального хостинга и т. д. По оценкам издания Computer Economics, суммарный ущерб от трех эпидемий сетевых червей Code Red, Nimda и Slammer превысил 4 млрд долл. только в 2001 году [8]. Из недавних событий такого рода можно отметить расцвет ботнета StormNet в 2007–2008 годах и недавнюю эпидемию червя Kido/Conficker в январе 2009.

Среди методов борьбы с ботнетами в последние годы активно развиваются методы обнаружения вредоносного исполняемого кода в сетевом трафике, позволяющие обнаруживать распространение сетевых червей во время проникновения на уязвимые узлы, что является первым и необходимым этапом строительства ботнета. Данное направление представляется перспективным, так как позволяет предпринимать профилактические меры вместо того, чтобы бороться с последствиями явления. Для проникновения на уязвимый узел червь использует так называемый «шеллкод» – последовательность машинных инструкций, выполняемую на атакуемом узле за счет эксплуатации уязвимости операционной системы или прикладного программного обеспечения.

< ... >

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»

Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        +7 (921) 958-25-50, +7 (911) 921-68-24

Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru