Главная Новости Программы Статьи Контакты
Реклама
Новые файлы
Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0
Нас сегодня посетили:
Форма входа
Главная » Статьи » Компьютеры

Обнаружения проникновения вирусов

Обнаружения проникновения вирусов

 

Еще один подход к защите машины заключается в установке системы обнаружения проникновения (Intrusion Detection System (IDS)). Существуют две основные разновидности систем IDS, одна из которых сконцентрирована на проверке входящих сетевых пакетов, а вторая — на поиске аномалий, относящихся к центральному процессору.
Ранее при рассмотрении брандмауэров сетевые IDS уже коротко упоминались, а теперь скажем несколько слов о централизованных системах IDS. Ограничения, предъявляемые к объему книги, удерживают нас от обследования множества разновидностей централизованных IDS. Поэтому кратко рассмотрим одну из разновидностей, чтобы
дать представление о том, как они работают. Эта разновидность называется статическим обнаружением проникновения на основе модели (static model-based intrusion detection) (Hua et al., 2009). Она может быть реализована, кроме всего прочего, с использованием рассмотренной ранее технологии тюремного заключения.

Теперь предположим, что кто-то обнаруживает ошибку в этой программе, ухитряется спровоцировать переполнение буфера и вставляет исполняемый вредоносный код.
Когда этот код запускается, он, вероятнее всего, выполняет другую последовательность системных вызовов. Например, он может пытаться открыть какой-нибудь файл, который ему нужно скопировать, или открыть сетевое подключение к домашнему телефону. При первом же системном вызове, не вписывающемся в схему, тюремщик
точно знает, что предпринята атака, и может принять меры, например уничтожить процесс и оповестить системного администратора. Этим способом система обнаружения проникновения может обнаружить предпринимаемые атаки. Статический анализ системных вызовов — это всего лишь один из многих способов, используемых в работе IDS.
При использовании такого обнаружения проникновения на основе модели тюремщик должен знать модель (то есть граф системных вызовов). Наиболее целенаправленный способ изучить модель состоит в том, чтобы заставить компилятор ее сгенерировать и заставить автора программы подписать ее и приложить ее сертификат. Таким образом, любая попытка модифицировать исполняемую программу заранее будет обнаружена при запуске, поскольку реальное поведение не будет согласовываться с имеющим цифровую подпись ожидаемым поведением.
К сожалению, хитрый атакующий злоумышленник может предпринять так называемую мимикрическую атаку (mimicry attack), в которой вставляемый код осуществляет те же системные вызовы, которые ожидаются от программы, поэтому нужны более сложные модели, чем те, которые только отслеживают системные вызовы. И тем не менее системы IDS могут сыграть свою роль как часть глубоко эшелонированной обороны.

Система IDS, основанная на модели, никоим образом не единственная в своем роде. Многие IDS используют концепцию под названием приманка (honeypot), представляющую собой набор ловушек, которые привлекают и отлавливают взломщиков и вредоносное программное обеспечение. Обычно это изолированная слабо защищен-
ная машина с внешне интересным и ценным содержимым, подготовленная к захвату.
Устроители приманки тщательно следят за любыми попытками любых атак в ее адрес, чтобы изучить природу атаки. Некоторые системы IDS помещают свои приманки на виртуальные машины, чтобы воспрепятствовать повреждению реальной базовой системы. Поэтому вполне естественно, что вирус старается определить,
как было рассмотрено ранее, не запущена ли она на виртуальной машине.

 



Free-Softs


Категория: Компьютеры | Добавил: admin (27.10.2015)
Просмотров: 556 | Рейтинг: 0.0/0


Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]