Un modello integrato control-flow e data-flow per il rilevamento ...

Recommendations

Info

62 4. L’implementazione Syslog server (syslogd) Altezza stack Occorrenze Altezza stack Occorrenze 4 1 (1.5%) 11 8 (12%) 5 1 (1.5%) 12 14 (21%) 6 3 (4.5%) 13 9 (13%) 7 3 (4.5%) 14 11 (16%) 8 6 (9%) 15 3 (4.5%) 9 3 (4.5%) 16 1 (1.5%) 10 4 (6%) Il processo syslogd, per via della sua “tranquillità” legata alla bassa attività del sistema di test è stato monitorato per circa un’ora. Si sono osservati 67 differenti stack, con un’altezza media di 11 elementi.
5 Conclusioni e sviluppi futuri La sempre maggiore pervasività dei sistemi di calcolo, siano essi computer veri e propri o dispositivi embedded, impone una sempre maggiore necessità di garantire la loro sicurezza. Esistono diversi meccanismi e diverse tecniche per raggiungere questo scopo anche se in ogni caso dare un livello di sicurezza totale non è possibile. Quello che però è possibile è cercare di creare sistemi di difesa sempre più efficaci e ad ampio spettro. I sistemi che implementano le difese si possono classificare in due categorie, quelli che si occupano di misuse detection, ovvero tramite pattern matching verificano la presenza di signature di un attacco e quelli che fanno anomaly detection, ovvero che cercano di capire se sono in atto comportamenti che si discostano dalla norma. Il monitoraggio delle chiamate di sistema va sotto la classe dell’anomaly detection: se un processo deve aprire un file e spedirlo via rete, nel momento in cui questo processo fa una chiamata ad execve() il comportamento esce dalla norma ed è so- spetto perché ha poco senso che per svolgere suo il compito sia necessario lanciare un altro processo. L’osservazione delle system call come tecnica di rilevamento delle intrusioni è nota fin dagli anni ’90 e i modelli che sono stati costruiti sono i più svariati. In questa tesi sono stati considerati vari modelli esistenti in letteratura che solo osservando le system call e i loro parametri consentono di apprendere informazioni relative al control flow e al data flow del programma. Dopo aver discusso le loro caratteristiche sono state messe in luce alcune debolezze, che hanno portato allo sviluppo di un nuovo modello che tratta in modo integrato control flow e data flow. Il nuovo modello risolve le debolezze dei precedenti apprendendo le informazioni in modo più fine.
Page 1:
Università degli Studi di Udine Fa
Page 5 and 6:
Ringraziamenti In questo percorso m
Page 7 and 8:
Indice 1 Introduzione 1 1.1 Anomaly
Page 9 and 10:
Elenco delle figure 1.1 Codice sema
Page 11 and 12:
1 Introduzione Dai tempi della “d
Page 13 and 14:
1.1. Anomaly detection e system cal
Page 15 and 16:
1.2. Obiettivo del lavoro 5 informa
Page 17 and 18:
1.3. Struttura della tesi 7 seconda
Page 19 and 20:
2 Modelli per l’anomaly detection
Page 21 and 22: 2.1. Modelli control flow 11 con un
Page 23 and 24: 2.1. Modelli control flow 13 • Vi
Page 25 and 26: 2.1. Modelli control flow 15 1 int
Page 27 and 28: 2.2. Modelli data flow 17 • se v
Page 29 and 30: 2.2. Modelli data flow 19 suo scopo
Page 31 and 32: 2.3. Discussione dei modelli studia
Page 33 and 34: 2.3. Discussione dei modelli studia
Page 35 and 36: 3 Un modello che integra control fl
Page 37 and 38: 3.1. Debolezze dei modelli esistent
Page 45 and 46: 3.2. Proposta 35 1 int main(void) 2
Page 47 and 48: 3.3. Costruzione del modello 37 mai
Page 49 and 50: 3.3. Costruzione del modello 39 Un
Page 51 and 52: 3.3. Costruzione del modello 41 Tra
Page 53 and 54: 3.3. Costruzione del modello 43 Par
Page 55 and 56: 3.3. Costruzione del modello 45 Tut
Page 57 and 58: 3.5. L’algoritmo per la verifica
Page 59 and 60: 3.5. L’algoritmo per la verifica
Page 61 and 62: 4 L’implementazione L’implement
Page 63 and 64: 4.2. Introduzione a DTrace 53 un ce
Page 65 and 66: 4.2. Introduzione a DTrace 55 1 sta
Page 67 and 68: 4.3. Implementazione del sistema 57
Page 69 and 70: 4.4. Costo computazionale del model
Page 71: 4.4. Costo computazionale del model
Page 75 and 76: 5.2. Sviluppi futuri 65 5.2.1 L’u
Page 77 and 78: 5.2. Sviluppi futuri 67 sistemi. In
Page 79 and 80: Bibliografia [1] System V Applicati
show all

Un modello integrato control-flow e data-flow per il rilevamento ...

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?