Un modello integrato control-flow e data-flow per il rilevamento ...

Recommendations

Info

22 2. Modelli per l’anomaly detection esempio il problema dell’impossible path) e questo è causato dall’eccessiva semplicità del modello. L’execution graph invece può certamente generare falsi positivi, quindi riconosce- re come attacchi sequenze di stack che non lo sono (e questo è causato di nuovo dal training insufficiente), ma le successioni di stack che ammette sono tutte ammesse anche dal control flow graph. Modello Costruzione Relazione con CFG FSA Dinamica né ⊆ né ⊇ VtPath Dinamica né ⊆ né ⊇ Execution graph Dinamica Dimostrato formalmente ⊆ Abs. Stack Statica = per costruzione Tabella 2.1: Caratteristiche dei modelli. Il modello FSA è estremamente semplice e se l’automa viene costruito con l’op- portuna cura si rivela efficace contro una discreta quantità di attacchi. Un buffer overflow per esempio, fatto nel modo standard [17], viene rivelato senza grossi pro- blemi. Anche l’implementazione di un IDS basato su questa tecnica non presenta difficoltà, se non quelle legate alla gestione di fork ed exec [21]. La semplicità del modello però è anche la sua debolezza ed è facile immaginare casi in cui l’automa non è in grado di osservare comportamenti anomali. Uno di questi casi è quello dell’impossible path. Supponiamo che in un programma ci sia una funzione f() e che il codice al suo interno sia vulnerabile ad un buffer overflow: l’attaccante potrebbe modificare il return address di f() in modo da farla ritornare in un punto diverso da quello di chiamata (il codice di Figura 2.3 potrebbe essere un esempio di questo scenario, si entra da riga 4 e si esce da riga 6). Questo modello è totalmente cieco a questo tipo di attacco e questa è una mancanza grave, in quanto il codice tra le due invocazioni di f() potrebbe essere ad esempio quello che verifica delle credenziali e consente o meno l’accesso al sistema. Il modello VtPath si avvicina all’execution graph e per come è costruito è ve- rosimile che le stringhe di system call che accetta sono un sottoinsieme di quelle che sarebbero accettate dal control flow graph, questo fatto però non è provato formalmente dagli autori. Il modello dell’execution graph infine è sicuramente quello più interessante pro- prio per il fatto che è stato relazionato formalmente con il control flow graph, mo- strando che le stringhe riconosciute sono contenute in quest’ultimo. Questo significa che possono esserci casi in cui l’execution graph riconosce come illecita un’azione
2.3. Discussione dei modelli studiati 23 invece consentita (e questo succede a causa del training insufficiente) ma non ci sono casi in cui sequenze non contenute nel control flow graph passano inosservate all’execution graph. Si è poi visto che una volta che il control flow è protetto è comunque possibile attaccare un programma con attacchi del tipo non-control-data. Non è quindi suffi- ciente proteggere solo il flusso di controllo ma è necessario proteggere anche quello dei dati. Si è allora studiato un modello data flow in grado di apprendere relazioni tra i parametri delle system call. L’obiettivo sarà, nel prossimo capitolo di questa tesi, integrare execution graph e data flow in un unico modello più potente e migliorarne la capacità di individuazione di comportamenti anomali.
Page 1: Università degli Studi di Udine Fa
Page 5 and 6: Ringraziamenti In questo percorso m
Page 7 and 8: Indice 1 Introduzione 1 1.1 Anomaly
Page 9 and 10: Elenco delle figure 1.1 Codice sema
Page 11 and 12: 1 Introduzione Dai tempi della “d
Page 13 and 14: 1.1. Anomaly detection e system cal
Page 15 and 16: 1.2. Obiettivo del lavoro 5 informa
Page 17 and 18: 1.3. Struttura della tesi 7 seconda
Page 19 and 20: 2 Modelli per l’anomaly detection
Page 21 and 22: 2.1. Modelli control flow 11 con un
Page 23 and 24: 2.1. Modelli control flow 13 • Vi
Page 25 and 26: 2.1. Modelli control flow 15 1 int
Page 27 and 28: 2.2. Modelli data flow 17 • se v
Page 29 and 30: 2.2. Modelli data flow 19 suo scopo
Page 31: 2.3. Discussione dei modelli studia
Page 35 and 36: 3 Un modello che integra control fl
Page 37 and 38: 3.1. Debolezze dei modelli esistent
Page 45 and 46: 3.2. Proposta 35 1 int main(void) 2
Page 47 and 48: 3.3. Costruzione del modello 37 mai
Page 49 and 50: 3.3. Costruzione del modello 39 Un
Page 51 and 52: 3.3. Costruzione del modello 41 Tra
Page 53 and 54: 3.3. Costruzione del modello 43 Par
Page 55 and 56: 3.3. Costruzione del modello 45 Tut
Page 57 and 58: 3.5. L’algoritmo per la verifica
Page 59 and 60: 3.5. L’algoritmo per la verifica
Page 61 and 62: 4 L’implementazione L’implement
Page 63 and 64: 4.2. Introduzione a DTrace 53 un ce
Page 65 and 66: 4.2. Introduzione a DTrace 55 1 sta
Page 67 and 68: 4.3. Implementazione del sistema 57
Page 69 and 70: 4.4. Costo computazionale del model
Page 71 and 72: 4.4. Costo computazionale del model
Page 73 and 74: 5 Conclusioni e sviluppi futuri La
Page 75 and 76: 5.2. Sviluppi futuri 65 5.2.1 L’u
Page 77 and 78: 5.2. Sviluppi futuri 67 sistemi. In
Page 79 and 80: Bibliografia [1] System V Applicati

Un modello integrato control-flow e data-flow per il rilevamento ...

Create successful ePaper yourself

Delete template?

Save as template?