Вход на хостинг
IT-новости
20.04.2016 iPhone 2017 года поместят в водонепроницаемый корпус из стекла
Линейка iPhone в новом году серьезно поменяется. В этом уверен аналитический исследователь Мин Чи Ку......
30.07.2015 Ищем уникальный контент для сайта
Ищем уникальный контент для сайта Без уникального контента Ваш сайт обречен на то, что его страницы......
Сетевая система обнаружения атак Lisys для обнаружения сетевых аномалий контролирует проходящие TCP SYN-пакеты. В случае обнаружения необычных TCP-связей, программа посылает предупреждение по e-mail. Далее решение принимает администратор. Если администратор ничего не предпринимает, то детектор, пометивший подключение как аномальное, исчезнет и не будет больше беспокоить. Если аномалия подтверждена, то детектор станет частью набора и будет предупреждать пользователя всякий раз при обнаружении подобного подключения. Состоит Lisys из распределенных детекторов размером 49 байт, контролирующих «data-path triple», т.е. IP-адресов источника и назначения, а также порт. Сначала детекторы генерируются случайно и в процессе работы соответствующие нормальному трафику постепенно убираются, кроме того, детекторы имеют время жизни, и в итоге весь набор, кроме записанных в память, через некоторое время регенерируется. При таком подходе возможно появление незаполненных мест в наборе, которое устраняется использованием масок перестановки, позволяющих повторно отобразить «data-path triple», замеченное различными детекторами. Для уменьшения количества ложных тревог используется порог активации, превышение которого приводит к срабатыванию датчика. Этот порог активации, как говорилось выше, общий на всю сеть.
Process Homeostasis (pH) (рис. 2) представляет собой расширение к ядру Linux, позволяющее обнаруживать и при необходимости замедлять необычное поведение программы. Для обнаружения необычного поведения вначале автоматически создаются профили системных вызовов, сделанных различными программами. На создание такого профиля уходит некоторое время, после чего программа может действовать самостоятельно, вначале включая экспоненциальную задержку по времени для аномальных вызовов, а затем и вовсе уничтожая процесс. Так как контролировать все вызовы накладно и нерационально, то система работает только с системными вызовами, имеющими полный доступ к ресурсам компьютера.
Рисунок 2
STIDE (Sequence Time-Delay Embedding) – также был призван помочь в обнаружении внедрений, распознавая необычные эпизоды системных вызовов. В процессе обучения stide формирует базу данных из всех уникальных, непрерывных системных вызовов и затем делит их на части предопределенной фиксированной длины. Во время работы stide сравнивает эпизоды, полученные при новых трассировках с уже имеющимися в базе данных, и сообщает о критерии аномалии, указывающем, сколько новых вызовов отличаются от нормы.