Un modello integrato control-flow e data-flow per il rilevamento ...

Recommendations

Info

16 2. Modelli per l’anomaly detection • essere uguali nei livelli dal primo al k-esimo • nel caso di s ci devono essere tutti gli archi di return da rn a rk • nel caso di s ′ ci devono essere tutti gli archi di call da r ′ k a r′ n ′ • deve esserci un arco da rk a r ′ k in Ecrs rn ... rk ... r2 r1 rtn rtn crs Figura 2.4: Rappresentazione grafica del significato di successore. Questa definizione è forse la più importante di questa sezione: essa gioca un ruo- lo cruciale nell’implementazione del metodo degli execution graph perché specifica esattamente ciò che deve fare il software. Una volta eseguito il training l’IDS avrà a disposizione gli insiemi V, Ecall, Ecrs ed Ertn e per verificare che il programma stia eseguendo operazioni conformi a quelle apprese durante il training è sufficiente verificare che valga la relazione di successore tra gli stack che man mano si osservano. 2.1.4 Abstract stack, un modello costruito staticamente Per completezza riportiamo un modello costruito staticamente [24], denominato abstract stack model. L’idea in questo caso è quella di costruire un automa pushdown non deterministico che riconosce un linguaggio context-free. I simboli del linguaggio sono le chiamate di sistema. Supponiamo di avere il control flow graph G = 〈V, E〉 del programma, CFG che include gli archi interprocedurali. Si costruisce un NDPDA il quale ha un alfabeto che provoca operazioni sullo stack V ∪ Σ, un alfabeto di input Σ e un insieme di transizioni che avvengono come spiegato di seguito. Inizialmente nello stack dell’automa è presente un simbolo v ∈ V : • se v è un nodo corrispondente ad una chiamata alla funzione f lo si toglie dallo stack, inserendo successivamente il nodo di ritorno v ′ e il punto di ingresso di f denotato con Entry(f) call call r'n' ... r'k ... r'2 r'1
2.2. Modelli data flow 17 • se v è Exit(f) semplicemente si rimuove v • se v non riguarda una chiamata di funzione ma una system call si toglie v e si inserisce s ∈ Σ e non-deterministicamente si sceglie w : (v, w) ∈ E e si inserisce w Se invece s si trova sulla cima dello stack si verifica che s = s ′ , dove s ′ è il simbolo corrente dell’input. Se l’uguaglianza è verificata si estrae s dallo stack e si procede, altrimenti si entra in uno stato d’errore che viene segnalato. 2.2 Modelli data flow I precedenti modelli visti focalizzano la loro attenzione esclusivamente sul flusso di controllo del programma, senza tenere in alcuna considerazione i dati (ovvero i parametri) coinvolti nelle chiamate di sistema. Tuttavia monitorare anche i parametri si rivela di notevole importanza. Si prenda ad esempio un attacco che sfrutta una race condition del tipo TOCTTOU (Time of check to time of use) dove una risorsa riferita da un nome cambia tra il momento in cui viene fatto un test e il momento in cui viene usata (si veda l’esempio di Figura 2.5). In un attacco come questo le chiamate di sistema fatte da un programma sono sempre le stesse ma l’interpreta- zione dei loro parametri in un momento piuttosto che in un altro è completamente diversa. if (access("file", W_OK) != 0) { exit(1); } /* In questo esatto momento in un altro processo un attaccante esegue symlink("/etc/passwd", "file"); */ fd = open("file", O_WRONLY); write(fd, buffer, sizeof(buffer)); Figura 2.5: Time to check to time of use. Un altro scenario è quello delineato in [4]. Gli autori notano che chi attacca un sistema attualmente è concentrato su metodologie che portano il processore ad eseguire codice in qualche modo estraneo al programma (control data attacks: buffer overflow, heap overflow, return-to-libc,... ricadono in questa categoria). Da questa osservazione si chiedono se, nel momento in cui il control flow è protetto, diventa
Page 1: Università degli Studi di Udine Fa
Page 5 and 6: Ringraziamenti In questo percorso m
Page 7 and 8: Indice 1 Introduzione 1 1.1 Anomaly
Page 9 and 10: Elenco delle figure 1.1 Codice sema
Page 11 and 12: 1 Introduzione Dai tempi della “d
Page 13 and 14: 1.1. Anomaly detection e system cal
Page 15 and 16: 1.2. Obiettivo del lavoro 5 informa
Page 17 and 18: 1.3. Struttura della tesi 7 seconda
Page 19 and 20: 2 Modelli per l’anomaly detection
Page 21 and 22: 2.1. Modelli control flow 11 con un
Page 23 and 24: 2.1. Modelli control flow 13 • Vi
Page 25: 2.1. Modelli control flow 15 1 int
Page 29 and 30: 2.2. Modelli data flow 19 suo scopo
Page 31 and 32: 2.3. Discussione dei modelli studia
Page 33 and 34: 2.3. Discussione dei modelli studia
Page 35 and 36: 3 Un modello che integra control fl
Page 37 and 38: 3.1. Debolezze dei modelli esistent
Page 45 and 46: 3.2. Proposta 35 1 int main(void) 2
Page 47 and 48: 3.3. Costruzione del modello 37 mai
Page 49 and 50: 3.3. Costruzione del modello 39 Un
Page 51 and 52: 3.3. Costruzione del modello 41 Tra
Page 53 and 54: 3.3. Costruzione del modello 43 Par
Page 55 and 56: 3.3. Costruzione del modello 45 Tut
Page 57 and 58: 3.5. L’algoritmo per la verifica
Page 59 and 60: 3.5. L’algoritmo per la verifica
Page 61 and 62: 4 L’implementazione L’implement
Page 63 and 64: 4.2. Introduzione a DTrace 53 un ce
Page 65 and 66: 4.2. Introduzione a DTrace 55 1 sta
Page 67 and 68: 4.3. Implementazione del sistema 57
Page 69 and 70: 4.4. Costo computazionale del model
Page 71 and 72: 4.4. Costo computazionale del model
Page 73 and 74: 5 Conclusioni e sviluppi futuri La
Page 75 and 76: 5.2. Sviluppi futuri 65 5.2.1 L’u
Page 77 and 78:
5.2. Sviluppi futuri 67 sistemi. In
Page 79 and 80:
Bibliografia [1] System V Applicati
show all

Un modello integrato control-flow e data-flow per il rilevamento ...

Create successful ePaper yourself

Delete template?

Save as template?