Денис Гамаюнов / Эдуард Торощин, 4 курс, sec-sem

На этом форуме публикуются и уточняются постановки задач студентам, а также отслеживается ход их выполнения

Модератор: staff

Закрыто
Бычков Иван
Аспирант
Сообщения: 179
Зарегистрирован: 23 сен 2008 01:19 pm

Денис Гамаюнов / Эдуард Торощин, 4 курс, sec-sem

Сообщение Бычков Иван »

Тема работы: Разработка системы поточной фильтрации вредоносного кода для высокоскоростных сетевых каналов.

Расшифровка темы:
Продолжение успешной работы 3-го курса, где научились с хорошей точностью обнаруживать шеллкод по частоте встречаемости инструкций в NOP-зонах. В этом году планируется заняться оптимизацией предложенного на 3-м курсе алгоритма, его реализации, доведение до продуктивного качества. Кроме того, планируется экспериментально исследовать применимость различных методов классификации на основе машинного обучения (нейросети, кластерный анализ, метод опорных векторов) с целью выбора наиболее пригодного для нашей задачи, т.е. имеющего наименьшую вычислительную сложность в фазе распознавания, при сохранении требуемого уровня ошибок 1 и 2 рода.

Актуальность:
Обнаружение вредоносного кода в потоке имеет множество приложений в области информационной безопасности - от обнаружения атак класса "несанкционированный доступ" до обнаружения распространения сетевых червей и ботов. При этом обнаружение лишь на основе анализа трафика особенно ценно с точки зрения эксплуатационных качеств (простота развёртывания и обслуживания).

Цель работы: Создание поточного фильтра вредоносного исполнимого кода для сетей TCP/IP на базе встроенной системы REDSecure.

Постановка задачи: Для достижения поставленной цели необходимо решить следующие задачи: оптимизировать алгоритм и реализацию C-STRIDE для обеспечения реальной производительности 100Мбит/с на одном процессорном ядре, экспериментально различные алгоритмы классификации на основе машинного обучения из состава библиотеки lnknet, провести сравнение по эффективности и скорости анализа, выбрать наиболее эффективный, реализовать в рамках встроенной системы REDSecure на базе FreeBSD и netgraph.

План работы:

1. Оптимизация C-STRIDE c использованием префиксного дерева для разбора IA-32.
2. Исследование и сравнительный анализ алгоритмов классификации из состава библиотеки lnknet, адаптация для рассматриваемой задачи. Выбор алгоритма для использования в реализации.
3. Реализация в рамках встроенной системы REDSecure на базе FreeBSD и netgraph, отладочная версия - сетевой сенсор REDSecure для Linux (userspace).
4. Тестирование фильтра в стенде ЛВК с использованием Metasploit Framework 3.0, CLET, модельного трафика.

Ожидаемые результаты:
1. Поточный фильтр шеллкода для 100Мбитного Ethernet-канала.

ПРИМЕЧАНИЕ:
Работы по архитектуре SPARC заменены на методы классификации ввиду большей ценности для решаемой задачи на текущий момент, и перенесены на лето.
Эдуард Торощин
Выпускник
Сообщения: 1
Зарегистрирован: 18 дек 2008 12:40 pm

Сообщение Эдуард Торощин »

Отчёт по курсовой работе

Тема курсовой работы:
Разработка системы поточной фильтрации вредоносного кода для высокоскоростных сетевых каналов.

Актуальность:
Обнаружение вредоносного кода в потоке имеет множество применений в области информационной безопасности --- от обнаружения атак, направленных на получение несанкционированного доступа, до обнаружения распространения сетевых червей. При этом обнаружение лишь на основе анализа трафика особенно ценно с точки зрения эксплуатационных качеств (простота развёртывания и обслуживания).

Постановка задачи:
Для достижения поставленной цели необходимо решить следующие задачи: оптимизировать алгоритм и реализацию C-STRIDE для обеспечения реальной производительности 100Мбит/с, добавить поддержку архитектуры SPARC, а также с целью эффективного выполнения на многоядерных системах SPARC64 реализовать соответствующий бэкенд для системы LLVM.

План работы:
* Оптимизация C-STRIDE c использованием префиксного дерева для разбора IA-32;
* Расширение области применения C-STRIDE за счёт архитектуры SPARC;
* Обеспечение эффективной работы анализатора на архитектуре SPARC64;
* Реализация в рамках встроенной системы REDSecure на базе FreeBSD и netgraph, отладочная версия - сетевой сенсор REDSecure для Linux (userspace);
* Тестирование фильтра в стенде ЛВК с использованием Metasploit Framework 3.0, ADMutate, модельного трафика.

Итоги за семестр:
По первому пункту плана выполнено:
* Изучена дипломная работа Нгуена;
* Осуществлена реализация генератора префиксного дерева для инструкций IA-32;
* Модифицирована библиотека сетевого анализатора REDSecure: подключено использование префиксного дерева в алгоритм STRIDE.
По второму пункту плана выполнено:
* Изучены основы архитектур SPARC и SPARC64.
По третьему пункту плана выполнено:
* Изучена архитектура системы LLVM, существующие бэкенды;
* Создана рабочая среда на сервере SPARC64: 64-битный компилятор GCC, набор утилит LLVM для тестирования.

Литература:
[1] Нгуен Тхой Минь Куан ``Разработка средства обнаружения полиморфного исполняемого кода в сетевом трафике'' Дипломная работа, 2008

[2] Lloyd Allison ``Algorithms glossary: Trie'' http://www.csse.monash.edu.au/~lloyd/ti ... Tree/Trie/

[3] I Kim, K Kang, Y Choi, D Kim, J Oh, K Han ``A Practical Approach for Detecting Executable Codes in Network Traffic'' http://www.springerlink.com/index/x472515413780261.pdf

[4] U Payer, P Teufl, M Lamberger ``Hybrid Engine for Polymorphic Shellcode Detection'' http://www.springerlink.com/index/qlk4qfxj171utuf5.pdf

[5] R Chinchani, E van den Berg ``A Fast Static Analysis Approach to Detect Exploit Code Inside Network Flows'' http://www.springerlink.com/index/71205631163um63h.pdf

[6] ``The LLVM Programmers' Manual'' http://llvm.org/docs/ProgrammersManual.html

[7] ``SPARC64-III User's Guide'' http://sparc.org/standards/sparc64.ps.Z

[8] ``The SPARC Architecture Manual, version 9'' http://sparc.org/standards/SPARCV9.pdf
Закрыто