Un modello integrato control-flow e data-flow per il rilevamento ...

Recommendations

Info

44 3. Un modello che integra control flow e data flow Algoritmo 4: Algoritmo data flow completo. for T ∈ T do for e ∈ T do learnUnary(arg(e), value(e), stack(e)); learnBinary(arg(e), value(e)); end end for R ∈ R do for X ∈ X do apply 3.1 to CurRels[R][X] end end L’algoritmo genera una formula logica per ogni argomento X osservato e per ogni relazione R che si vuole apprendere. Tali formule dovranno essere tutte e sempre verificate a runtime, in caso contrario si ha un’anomalia che potrebbe corrispondere ad un’intrusione. 3.3.3 Descrizione dell’algoritmo Siano dati una traccia T , una relazione R e un valore V . Allora l’algoritmo apprende quali sono le coppie di argomenti {(xi, xj) : xi, xj ∈ T ∧ (xi, xj) ∈ R} Se la traccia è composta da un singolo evento (x = v), allora banalmente il risultato è CurRels[R][x][v] = ∅ Supponiamo ora che la traccia sia composta da più eventi {(x1 = v1), . . . , (xk−1 = vk−1)}. All’arrivo dell’evento (xk, vk) il valore vk viene cercato nella tabella di lookup e viene restituito l’insieme Y di tutti gli argomenti xi finora visti che hanno valore in relazione con vk. Allora si possono manifestare differenti casi: • CurRels[R][X][V ] = ∅ e Y = ∅: In questo caso non è stata osservata nessuna relazione per l’argomento X quando ha valore V che sia valida su tutta la traccia finora processata. Inoltre non ci sono visti argomenti che hanno avuto come ultimo valore il valore V . Dunque l’argomento in analisi non ha nessuna relazione con argomenti passati e in questo caso l’algoritmo apprende correttamente CurRels[R][X][V ] = ∅ • CurRels[R][X][V ] = ∅ e Y = ∅: Per quanto riguarda la prima parte vale il discorso fatto al punto precedente. Per quanto riguarda la seconda parte, il fatto che Y sia non vuoto significa che in passato sono stati osservati parametri il cui argomento aveva valore in relazione con il valore dell’argomento corrente.
3.3. Costruzione del modello 45 Tuttavia questo non è sufficiente a dire che X è in relazione con i parametri in Y e quindi CurRels[R][X][V ] rimane vuoto. Prima di poter aggiungere qualcosa a CurRels[R][X][V ] è necessario escludere da Y i parametri che sono apparsi prima della precedente occorrenza di X con valore in relazione con V . Supponiamo di non farlo e di avere le occorrenze x1, x2, x3 dello stesso parametro: in questo caso verrebbero apprese delle relazioni che potrebbero valere per x1 e x3 ma non per x2 (vedi esempio). Se invece si prendono solo i parametri “nuovi”, cioè quelli in Yn si può essere certi che un’eventuale relazione appresa, almeno fino a quel punto della traccia, è valida. Quindi il passo CurRels[R][X][V ] ∪ Yn è lecito • CurRels[R][X][V ] = ∅ e Y = ∅: Se Y = ∅ significa che il parametro che si sta analizzando non è più in relazione con nessun parametro visto in passato. In altre parole, i parametri con cui X era in relazione hanno cambiato valore, per cui non è più possibile stabilire una relazione che valga globalmente sull’intera traccia. Quindi, tutte le relazioni finora imparate relativamente ad X vanno scartate e dunque CurRels[R][X][V ] = ∅ • CurRels[R][X][V ] = ∅ e Y = ∅: Questo caso è semplicemente l’unione dei due precedenti: vengono conservate soltanto le relazioni che continuano a valere globalmente sulla traccia vista finora e vengono scartate tutte le altre I quattro casi appena visti riguardano la prima parte, prendiamo ora in considera- zione la seconda parte, ovvero quella delineata nella formula 3.1. Sia dato CurRels[R][X][V ] = {X1, . . . , Xn}. Questo risultato viene generato dall’algoritmo soltanto se su tutte le tracce osservate valgono X R X1, . . . , X R Xn, ovvero i∈{1,...,n} X R Xi (3.2) che è il vincolo a cui deve sottostare X quando ha valore V . Si supponga ora di aver osservato più valori per X, quindi {v1, . . . , vk}. Si avrà che per ogni 1 ≤ j ≤ n esiste un insieme Pj tale che CurRels[R][X][vj] = Pj e una corrispondente formula Fj del tipo della 3.2. I vari valori osservati sono possibili alternative, quindi varrà banalmente che j∈{1,...,k} Fj (3.3)
Page 1:
Università degli Studi di Udine Fa
Page 5 and 6: Ringraziamenti In questo percorso m
Page 7 and 8: Indice 1 Introduzione 1 1.1 Anomaly
Page 9 and 10: Elenco delle figure 1.1 Codice sema
Page 11 and 12: 1 Introduzione Dai tempi della “d
Page 13 and 14: 1.1. Anomaly detection e system cal
Page 15 and 16: 1.2. Obiettivo del lavoro 5 informa
Page 17 and 18: 1.3. Struttura della tesi 7 seconda
Page 19 and 20: 2 Modelli per l’anomaly detection
Page 21 and 22: 2.1. Modelli control flow 11 con un
Page 23 and 24: 2.1. Modelli control flow 13 • Vi
Page 25 and 26: 2.1. Modelli control flow 15 1 int
Page 27 and 28: 2.2. Modelli data flow 17 • se v
Page 29 and 30: 2.2. Modelli data flow 19 suo scopo
Page 31 and 32: 2.3. Discussione dei modelli studia
Page 33 and 34: 2.3. Discussione dei modelli studia
Page 35 and 36: 3 Un modello che integra control fl
Page 37 and 38: 3.1. Debolezze dei modelli esistent
Page 45 and 46: 3.2. Proposta 35 1 int main(void) 2
Page 47 and 48: 3.3. Costruzione del modello 37 mai
Page 49 and 50: 3.3. Costruzione del modello 39 Un
Page 51 and 52: 3.3. Costruzione del modello 41 Tra
Page 53: 3.3. Costruzione del modello 43 Par
Page 57 and 58: 3.5. L’algoritmo per la verifica
Page 59 and 60: 3.5. L’algoritmo per la verifica
Page 61 and 62: 4 L’implementazione L’implement
Page 63 and 64: 4.2. Introduzione a DTrace 53 un ce
Page 65 and 66: 4.2. Introduzione a DTrace 55 1 sta
Page 67 and 68: 4.3. Implementazione del sistema 57
Page 69 and 70: 4.4. Costo computazionale del model
Page 71 and 72: 4.4. Costo computazionale del model
Page 73 and 74: 5 Conclusioni e sviluppi futuri La
Page 75 and 76: 5.2. Sviluppi futuri 65 5.2.1 L’u
Page 77 and 78: 5.2. Sviluppi futuri 67 sistemi. In
Page 79 and 80: Bibliografia [1] System V Applicati
show all

Un modello integrato control-flow e data-flow per il rilevamento ...

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?