Un modello integrato control-flow e data-flow per il rilevamento ...

Recommendations

Info

20 2. Modelli per l’anomaly detection Nello pseudocodice R è la relazione che si vuole apprendere, che potrebbe essere equals, elementOf, inRange, ... La relazione appresa dipende sostanzialmente da cosa restituisce lookup() nel primo passo: questa chiamata infatti ha il compito di restituire tutti i nomi dei parametri precedentemente visti che avevano valore in relazione con V . Ad esempio: Esempio 1 (lookup) Si è osservata: • la traccia (X = 5); (Y = 6); (Z = 5); (W = 4); (Q = 5) e si sta processando l’evento P = 5. Si vuole imparare la relazione equals, quindi lookup(5) restituisce {X, Z, Q}. • la traccia (X = /a/b/c); (Y = /a/b); (Z = /zz); (W = /a/b/c/d) e si sta processando l’evento Q = /a. Si vuole apprendere la relazione isWithinDir, quindi lookup() dovrà restituire {X, Y, W } Prima di proseguire dobbiamo notare che in questo modo si apprende la R esclusi- vamente rispetto ad un preciso punto di una traccia. Quello che invece si vuole è apprendere qualcosa che sia valido lungo tutta la traccia, ovvero RT . Quindi, se R è la relazione che si vuole apprendere, è necessario definire il suo lifting RT su una traccia. Quello che l’algoritmo apprenderà sarà proprio RT (RT se applicato a più tracce). Definizione 6 (Lifting di una relazione R su una traccia) Sia data una relazione R tra due argomenti X e Y . Scriviamo X RT Y se e solo se per ogni occorrenza di X e l’occorrenza di Y immediatamente precedente vale X R Y . Sia T l’insieme di tutte le tracce osservate: se ∀T ∈ T : X RT Y allora X RT Y . Nel secondo passo CurRels tiene traccia della RT finora appresa e, intersecando con il risultato di lookup() vengono scartati tutti quei parametri per i quali non vale più R. Nel terzo passo NewArgs(X) è una funzione che restituisce tutti gli eventi che compaiono per la prima volta dopo la precedente occorrenza di X e, intersecando il suo risultato con Y, si possono identificare i nuovi eventi che si trovano in relazione con X, per poi aggiungerli a CurRels al passo successivo. Esempio 2 (NewArgs) Sia data la sequenza di eventi A,B,C,D,B,E,C,F,D,A,... • NewArgs(B) è {A} per la prima occorrenza di B, è {C, D} per la seconda
2.3. Discussione dei modelli studiati 21 • NewArgs(C) è {A, B} per la prima occorrenza di C, è {D, E} per la seconda In Figura 2.7 è riportato un piccolo programma insieme alle informazioni apprese dal modello data flow. 1 int main(void) 2 { 3 int fd; 4 fd = open("test.txt"); 5 write(fd,"Hello"); 6 close(fd); 7 } fd@5 equals fd@4 fd@6 equals fd@4 fd@6 equals fd@5 Figura 2.7: Informazioni apprese a runtime dall’analisi data flow. 2.3 Discussione dei modelli studiati In questo capitolo sono stati descritti quattro modelli control flow ed uno data flow. Dei quattro modelli data flow, tre sono costruiti black-box, ovvero senza bisogno di aver accesso al codice sorgente: questo permette una loro applicazione universale a differenza del quarto modello che, pur essendo potenzialmente più preciso, trova limitata applicabilità. La costruzione di questo modello, dovendo essere effettuata staticamente, deve essere supportata da un tool in grado di riconoscere il linguaggio sorgente del programma o addirittura dal compilatore stesso e questo ne accresce notevolmente la complessità implementativa. Inoltre, per gli execution graphs, in [7] viene dimostrata una proprietà molto importante, ovvero che il linguaggio riconosciuto da un execution graph è contenuto in quello riconosciuto dal control flow graph del medesimo programma. Questo significa che, a patto di eseguire un training corretto, viene colta praticamente tutta la struttura del programma utile per l’anomaly detection. I modelli sono stati presentati in ordine crescente di capacità di rivelare eventuali anomalie e le loro caratteristiche sono riassunte nella Tabella 2.1. Le relazioni ⊆ e ⊇ in questo caso significano rispettivamente che le sequenze accettate dal modello sono un sottoinsieme e un soprainsieme di quelle ammissibili dal control flow graph. All’atto pratico questo si traduce nella presenza di falsi positivi e falsi negativi. In particolare il modello FSA può riconoscere come non valide transizioni che invece lo sono, generando falsi positivi (a causa di un training insufficiente) ma può anche riconoscere come valide transizioni che non lo sono, generando falsi negativi (ad
Page 1: Università degli Studi di Udine Fa
Page 5 and 6: Ringraziamenti In questo percorso m
Page 7 and 8: Indice 1 Introduzione 1 1.1 Anomaly
Page 9 and 10: Elenco delle figure 1.1 Codice sema
Page 11 and 12: 1 Introduzione Dai tempi della “d
Page 13 and 14: 1.1. Anomaly detection e system cal
Page 15 and 16: 1.2. Obiettivo del lavoro 5 informa
Page 17 and 18: 1.3. Struttura della tesi 7 seconda
Page 19 and 20: 2 Modelli per l’anomaly detection
Page 21 and 22: 2.1. Modelli control flow 11 con un
Page 23 and 24: 2.1. Modelli control flow 13 • Vi
Page 25 and 26: 2.1. Modelli control flow 15 1 int
Page 27 and 28: 2.2. Modelli data flow 17 • se v
Page 29: 2.2. Modelli data flow 19 suo scopo
Page 33 and 34: 2.3. Discussione dei modelli studia
Page 35 and 36: 3 Un modello che integra control fl
Page 37 and 38: 3.1. Debolezze dei modelli esistent
Page 45 and 46: 3.2. Proposta 35 1 int main(void) 2
Page 47 and 48: 3.3. Costruzione del modello 37 mai
Page 49 and 50: 3.3. Costruzione del modello 39 Un
Page 51 and 52: 3.3. Costruzione del modello 41 Tra
Page 53 and 54: 3.3. Costruzione del modello 43 Par
Page 55 and 56: 3.3. Costruzione del modello 45 Tut
Page 57 and 58: 3.5. L’algoritmo per la verifica
Page 59 and 60: 3.5. L’algoritmo per la verifica
Page 61 and 62: 4 L’implementazione L’implement
Page 63 and 64: 4.2. Introduzione a DTrace 53 un ce
Page 65 and 66: 4.2. Introduzione a DTrace 55 1 sta
Page 67 and 68: 4.3. Implementazione del sistema 57
Page 69 and 70: 4.4. Costo computazionale del model
Page 71 and 72: 4.4. Costo computazionale del model
Page 73 and 74: 5 Conclusioni e sviluppi futuri La
Page 75 and 76: 5.2. Sviluppi futuri 65 5.2.1 L’u
Page 77 and 78: 5.2. Sviluppi futuri 67 sistemi. In
Page 79 and 80: Bibliografia [1] System V Applicati

Un modello integrato control-flow e data-flow per il rilevamento ...

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?