Un modello integrato control-flow e data-flow per il rilevamento ...

Recommendations

Info

36 3. Un modello che integra control flow e data flow la loro efficacia nel proteggere un’applicazione sia elevata, si sono identificati dei casi in cui degli attacchi passano inosservati. I falsi negativi sono dovuti al fatto che le informazioni raccolte sono troppo povere e prive di un adeguato contesto. In questa tesi si propone un modello integrato control flow/data flow in grado di risolvere questi problemi e di rilevare attacchi non visibili dai modelli già esistenti. Per quanto riguarda la parte control flow si è adottato il modello dell’execution graph. La sua precisione è estremamente elevata e forse anche difficile da superare. Per quanto riguarda la parte data flow invece si sono studiate delle estensioni al modello di [2] relative alle relazioni unarie e alle relazioni binarie, inoltre lo si è dotato della capacità di apprendere delle alternative. chiedi_nome_file read main.22 main.24 main.25 g.10 put_msg.5 write stack = [main.22 | g.10 | put_msg.5] implies buf@5 = “Hello,” stack = [main.25 | put_msg.5] implies buf@5 = “world\n” Figura 3.9: Nuovo modello per l’esempio del primo scenario. Il risultato può essere visto come un execution graph annotato su ogni nodo foglia con delle informazioni data flow che per ogni esecuzione valida del programma devono essere verificate. Se non lo sono si è di fronte ad un comportamento anomalo, verosimilmente un attacco. Durante il training ad ogni evento viene aggiunta informazione al modello. Ogni chiamata di sistema viene osservata assieme allo stack user-space e a tutti i suoi parametri. Lo stack viene utilizzato per costruire l’execution graph e per contestua- lizzare le relazioni unarie, mentre i parametri vengono utilizzati nell’apprendimento sia delle relazioni unarie che delle relazioni binarie. Nella sua forma più semplice l’idea per apprendere le relazioni unarie è quella di creare una tabella in cui le righe sono indicizzate dagli stack che si osservano mentre le colonne sono indicizzate dai nomi dei parametri. Ad ogni chiamata di
3.3. Costruzione del modello 37 main.4 open main.6 main.10 write fd@10=fd@4 OR fd@10=fd@6 fd@11=fd@10 main.11 close Figura 3.10: Nuovo modello per l’esempio del terzo scenario. sistema si individua la cesella che interessa e vi si aggiunge il valore del parametro osservato. Concluso il training si va ad osservare ogni casella: se contiene un valore soltanto l’informazione è che un dato parametro, in un dato contesto, può assumere solo quel valore. Se i valori invece sono molteplici c’è tutta una serie di possibilità: andando a prenderli tutti si può costruire la relazione elementOf, mentre prendendo ad esempio il minimo ed il massimo si può costruire inRange. Riguardo all’apprendimento delle relazioni binarie, come si è detto si vuole poter apprendere delle alternative. Anche l’idea per ottenere questo risultato è molto semplice e prevede di apprendere relazioni differenziate in base al valore osservato del parametro. Concluso il training si passa ad una seconda fase, in cui si osserva se le relazioni apprese sono identiche per ogni valore del parametro o meno. Nel primo caso non si è appreso nulla di differente dal modello precedente ma nel secondo caso si sono apprese le alternative cercate. 3.3 Costruzione del modello Per costruire il modello proposto è necessario: • costruire l’execution graph • apprendere le relazioni unarie • apprendere le relazioni binarie 3.3.1 Algoritmo di apprendimento delle relazioni unarie L’apprendimento delle relazioni unarie è molto semplice, almeno nel caso delle relazioni equals e elementOf. Inoltre non è molto complicato rendere l’algoritmo “furbo” e far si che impari anche relazioni come inRange o isWithinDir.
Page 1: Università degli Studi di Udine Fa
Page 5 and 6: Ringraziamenti In questo percorso m
Page 7 and 8: Indice 1 Introduzione 1 1.1 Anomaly
Page 9 and 10: Elenco delle figure 1.1 Codice sema
Page 11 and 12: 1 Introduzione Dai tempi della “d
Page 13 and 14: 1.1. Anomaly detection e system cal
Page 15 and 16: 1.2. Obiettivo del lavoro 5 informa
Page 17 and 18: 1.3. Struttura della tesi 7 seconda
Page 19 and 20: 2 Modelli per l’anomaly detection
Page 21 and 22: 2.1. Modelli control flow 11 con un
Page 23 and 24: 2.1. Modelli control flow 13 • Vi
Page 25 and 26: 2.1. Modelli control flow 15 1 int
Page 27 and 28: 2.2. Modelli data flow 17 • se v
Page 29 and 30: 2.2. Modelli data flow 19 suo scopo
Page 31 and 32: 2.3. Discussione dei modelli studia
Page 33 and 34: 2.3. Discussione dei modelli studia
Page 35 and 36: 3 Un modello che integra control fl
Page 37 and 38: 3.1. Debolezze dei modelli esistent
Page 45: 3.2. Proposta 35 1 int main(void) 2
Page 49 and 50: 3.3. Costruzione del modello 39 Un
Page 51 and 52: 3.3. Costruzione del modello 41 Tra
Page 53 and 54: 3.3. Costruzione del modello 43 Par
Page 55 and 56: 3.3. Costruzione del modello 45 Tut
Page 57 and 58: 3.5. L’algoritmo per la verifica
Page 59 and 60: 3.5. L’algoritmo per la verifica
Page 61 and 62: 4 L’implementazione L’implement
Page 63 and 64: 4.2. Introduzione a DTrace 53 un ce
Page 65 and 66: 4.2. Introduzione a DTrace 55 1 sta
Page 67 and 68: 4.3. Implementazione del sistema 57
Page 69 and 70: 4.4. Costo computazionale del model
Page 71 and 72: 4.4. Costo computazionale del model
Page 73 and 74: 5 Conclusioni e sviluppi futuri La
Page 75 and 76: 5.2. Sviluppi futuri 65 5.2.1 L’u
Page 77 and 78: 5.2. Sviluppi futuri 67 sistemi. In
Page 79 and 80: Bibliografia [1] System V Applicati

Un modello integrato control-flow e data-flow per il rilevamento ...

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?