Тема работы: Разработка системы поточной фильтрации вредоносного кода для высокоскоростных сетевых каналов.
Расшифровка темы:
Продолжение успешной работы 3-го курса, где научились с хорошей точностью обнаруживать шеллкод по частоте встречаемости инструкций в NOP-зонах. В этом году планируется заняться оптимизацией предложенного на 3-м курсе алгоритма, его реализации, доведение до продуктивного качества. Кроме того, планируется экспериментально исследовать применимость различных методов классификации на основе машинного обучения (нейросети, кластерный анализ, метод опорных векторов) с целью выбора наиболее пригодного для нашей задачи, т.е. имеющего наименьшую вычислительную сложность в фазе распознавания, при сохранении требуемого уровня ошибок 1 и 2 рода.
Актуальность:
Обнаружение вредоносного кода в потоке имеет множество приложений в области информационной безопасности - от обнаружения атак класса "несанкционированный доступ" до обнаружения распространения сетевых червей и ботов. При этом обнаружение лишь на основе анализа трафика особенно ценно с точки зрения эксплуатационных качеств (простота развёртывания и обслуживания).
Цель работы: Создание поточного фильтра вредоносного исполнимого кода для сетей TCP/IP на базе встроенной системы REDSecure.
Постановка задачи: Для достижения поставленной цели необходимо решить следующие задачи: оптимизировать алгоритм и реализацию C-STRIDE для обеспечения реальной производительности 100Мбит/с на одном процессорном ядре, экспериментально различные алгоритмы классификации на основе машинного обучения из состава библиотеки lnknet, провести сравнение по эффективности и скорости анализа, выбрать наиболее эффективный, реализовать в рамках встроенной системы REDSecure на базе FreeBSD и netgraph.
План работы:
1. Оптимизация C-STRIDE c использованием префиксного дерева для разбора IA-32.
2. Исследование и сравнительный анализ алгоритмов классификации из состава библиотеки lnknet, адаптация для рассматриваемой задачи. Выбор алгоритма для использования в реализации.
3. Реализация в рамках встроенной системы REDSecure на базе FreeBSD и netgraph, отладочная версия - сетевой сенсор REDSecure для Linux (userspace).
4. Тестирование фильтра в стенде ЛВК с использованием Metasploit Framework 3.0, CLET, модельного трафика.
Ожидаемые результаты:
1. Поточный фильтр шеллкода для 100Мбитного Ethernet-канала.
ПРИМЕЧАНИЕ:
Работы по архитектуре SPARC заменены на методы классификации ввиду большей ценности для решаемой задачи на текущий момент, и перенесены на лето.
Денис Гамаюнов / Эдуард Торощин, 4 курс, sec-sem
Модератор: staff
-
- Аспирант
- Сообщения: 179
- Зарегистрирован: 23 сен 2008 01:19 pm
-
- Выпускник
- Сообщения: 1
- Зарегистрирован: 18 дек 2008 12:40 pm
Отчёт по курсовой работе
Тема курсовой работы:
Разработка системы поточной фильтрации вредоносного кода для высокоскоростных сетевых каналов.
Актуальность:
Обнаружение вредоносного кода в потоке имеет множество применений в области информационной безопасности --- от обнаружения атак, направленных на получение несанкционированного доступа, до обнаружения распространения сетевых червей. При этом обнаружение лишь на основе анализа трафика особенно ценно с точки зрения эксплуатационных качеств (простота развёртывания и обслуживания).
Постановка задачи:
Для достижения поставленной цели необходимо решить следующие задачи: оптимизировать алгоритм и реализацию C-STRIDE для обеспечения реальной производительности 100Мбит/с, добавить поддержку архитектуры SPARC, а также с целью эффективного выполнения на многоядерных системах SPARC64 реализовать соответствующий бэкенд для системы LLVM.
План работы:
* Оптимизация C-STRIDE c использованием префиксного дерева для разбора IA-32;
* Расширение области применения C-STRIDE за счёт архитектуры SPARC;
* Обеспечение эффективной работы анализатора на архитектуре SPARC64;
* Реализация в рамках встроенной системы REDSecure на базе FreeBSD и netgraph, отладочная версия - сетевой сенсор REDSecure для Linux (userspace);
* Тестирование фильтра в стенде ЛВК с использованием Metasploit Framework 3.0, ADMutate, модельного трафика.
Итоги за семестр:
По первому пункту плана выполнено:
* Изучена дипломная работа Нгуена;
* Осуществлена реализация генератора префиксного дерева для инструкций IA-32;
* Модифицирована библиотека сетевого анализатора REDSecure: подключено использование префиксного дерева в алгоритм STRIDE.
По второму пункту плана выполнено:
* Изучены основы архитектур SPARC и SPARC64.
По третьему пункту плана выполнено:
* Изучена архитектура системы LLVM, существующие бэкенды;
* Создана рабочая среда на сервере SPARC64: 64-битный компилятор GCC, набор утилит LLVM для тестирования.
Литература:
[1] Нгуен Тхой Минь Куан ``Разработка средства обнаружения полиморфного исполняемого кода в сетевом трафике'' Дипломная работа, 2008
[2] Lloyd Allison ``Algorithms glossary: Trie'' http://www.csse.monash.edu.au/~lloyd/ti ... Tree/Trie/
[3] I Kim, K Kang, Y Choi, D Kim, J Oh, K Han ``A Practical Approach for Detecting Executable Codes in Network Traffic'' http://www.springerlink.com/index/x472515413780261.pdf
[4] U Payer, P Teufl, M Lamberger ``Hybrid Engine for Polymorphic Shellcode Detection'' http://www.springerlink.com/index/qlk4qfxj171utuf5.pdf
[5] R Chinchani, E van den Berg ``A Fast Static Analysis Approach to Detect Exploit Code Inside Network Flows'' http://www.springerlink.com/index/71205631163um63h.pdf
[6] ``The LLVM Programmers' Manual'' http://llvm.org/docs/ProgrammersManual.html
[7] ``SPARC64-III User's Guide'' http://sparc.org/standards/sparc64.ps.Z
[8] ``The SPARC Architecture Manual, version 9'' http://sparc.org/standards/SPARCV9.pdf
Тема курсовой работы:
Разработка системы поточной фильтрации вредоносного кода для высокоскоростных сетевых каналов.
Актуальность:
Обнаружение вредоносного кода в потоке имеет множество применений в области информационной безопасности --- от обнаружения атак, направленных на получение несанкционированного доступа, до обнаружения распространения сетевых червей. При этом обнаружение лишь на основе анализа трафика особенно ценно с точки зрения эксплуатационных качеств (простота развёртывания и обслуживания).
Постановка задачи:
Для достижения поставленной цели необходимо решить следующие задачи: оптимизировать алгоритм и реализацию C-STRIDE для обеспечения реальной производительности 100Мбит/с, добавить поддержку архитектуры SPARC, а также с целью эффективного выполнения на многоядерных системах SPARC64 реализовать соответствующий бэкенд для системы LLVM.
План работы:
* Оптимизация C-STRIDE c использованием префиксного дерева для разбора IA-32;
* Расширение области применения C-STRIDE за счёт архитектуры SPARC;
* Обеспечение эффективной работы анализатора на архитектуре SPARC64;
* Реализация в рамках встроенной системы REDSecure на базе FreeBSD и netgraph, отладочная версия - сетевой сенсор REDSecure для Linux (userspace);
* Тестирование фильтра в стенде ЛВК с использованием Metasploit Framework 3.0, ADMutate, модельного трафика.
Итоги за семестр:
По первому пункту плана выполнено:
* Изучена дипломная работа Нгуена;
* Осуществлена реализация генератора префиксного дерева для инструкций IA-32;
* Модифицирована библиотека сетевого анализатора REDSecure: подключено использование префиксного дерева в алгоритм STRIDE.
По второму пункту плана выполнено:
* Изучены основы архитектур SPARC и SPARC64.
По третьему пункту плана выполнено:
* Изучена архитектура системы LLVM, существующие бэкенды;
* Создана рабочая среда на сервере SPARC64: 64-битный компилятор GCC, набор утилит LLVM для тестирования.
Литература:
[1] Нгуен Тхой Минь Куан ``Разработка средства обнаружения полиморфного исполняемого кода в сетевом трафике'' Дипломная работа, 2008
[2] Lloyd Allison ``Algorithms glossary: Trie'' http://www.csse.monash.edu.au/~lloyd/ti ... Tree/Trie/
[3] I Kim, K Kang, Y Choi, D Kim, J Oh, K Han ``A Practical Approach for Detecting Executable Codes in Network Traffic'' http://www.springerlink.com/index/x472515413780261.pdf
[4] U Payer, P Teufl, M Lamberger ``Hybrid Engine for Polymorphic Shellcode Detection'' http://www.springerlink.com/index/qlk4qfxj171utuf5.pdf
[5] R Chinchani, E van den Berg ``A Fast Static Analysis Approach to Detect Exploit Code Inside Network Flows'' http://www.springerlink.com/index/71205631163um63h.pdf
[6] ``The LLVM Programmers' Manual'' http://llvm.org/docs/ProgrammersManual.html
[7] ``SPARC64-III User's Guide'' http://sparc.org/standards/sparc64.ps.Z
[8] ``The SPARC Architecture Manual, version 9'' http://sparc.org/standards/SPARCV9.pdf