Detail publikace

Features for Behavioral Anomaly Detection of Connectionless Network Buffer Overflow Attacks

HOMOLIAK Ivan, ŠULÁK Ladislav a HANÁČEK Petr. Features for Behavioral Anomaly Detection of Connectionless Network Buffer Overflow Attacks. In: Information Security Applications - 17th International Workshop, WISA 2016, Jeju Island, Korea, August 25-27, 2016, Revised Selected Papers. Lecture Notes in Computer Science, roč. 10144. Jeju Island: Springer International Publishing, 2017, s. 66-78. ISBN 978-3-319-56549-1. ISSN 0302-9743. Dostupné z: https://link.springer.com/chapter/10.1007%2F978-3-319-56549-1_6
Název česky
Anomální Behaviorální Analýza Nespojově Orientovaných Síťových Útoků Prováděných Prostřednictvím Zneužití Zranitelností Přetečení Zásobníku
Typ
článek ve sborníku konference
Jazyk
angličtina
Autoři
Homoliak Ivan, Ing., Ph.D. (UITS FIT VUT)
Šulák Ladislav, Ing. (FIT VUT)
Hanáček Petr, doc. Dr. Ing. (UITS FIT VUT)
URL
Abstrakt

Buffer Overflow (BO) útoky jsou jedny z největších hrozeb v oblasti bezpečnosti počítačových sítí. Metody detekce BO útoků obvykle používají jeden ze dvou přístupů: analýza na základě porovnání signatur s obsahem paketů versus analýza hlaviček paketů s behaviorální analýzou toku dat. Druhý přístup je zaměřen na detekci BO útoků bez ohledu na obsah paketu, jelikož ten může být zašifrován. V tomto článku navrhujeme techniku založenou na behaviorální detekci anomálií v síti (NBAD) zaměřenou na nespojovaně-orientovanou komunikaci. Podobného přístupu bylo užito již v předešlých pracích, ty však byly zaměřeny na komunikaci spojovaně-orinetovanou. Ne všechny principy NBAD pro spojovaně-orinetovanou komunikaci lze přenést na komunikaci nespojovaně-orinetovanou. Zde je tak navržena množina diskriminujících rysů popisující chování BO útoků v nespojovaně-orinetované komunikaci a implementován nástroj pro jejich offline extrakci ze zachyceného komunikačního provozu. Dále popisujeme shromažďování dat provedené ve virtualizovaném síťovém prostředí s užitím exploitů pro SIP a TFTP služby, následované experimenty s technikami pro dolování dat využívající strojového učení s učitelem (ML) a Naivní Bayesovský klasifikátor. Zneužití zranitelností služeb je provedeno modifikací síťového provozu se záměrem simulovat reálné podmínky v síti. Výsledky experimentů ukazují, že navržený přístup je schopen rozlišit BO útoky od legitimního síťového provozu s vysokou přesností a odezvou klasifikace.

Rok
2017
Strany
66-78
Časopis
Lecture Notes in Computer Science, roč. 10144, č. 1, ISSN 0302-9743
Sborník
Information Security Applications - 17th International Workshop, WISA 2016, Jeju Island, Korea, August 25-27, 2016, Revised Selected Papers
Řada
Lecture Notes in Computer Science
Konference
The 17th World Conference on Information Security Applications, Jeju Island, South Korea, KR
ISBN
978-3-319-56549-1
Vydavatel
Springer International Publishing
Místo
Jeju Island, KR
DOI
UT WoS
000426125100006
EID Scopus
BibTeX
@INPROCEEDINGS{FITPUB10931,
   author = "Ivan Homoliak and Ladislav \v{S}ul\'{a}k and Petr Han\'{a}\v{c}ek",
   title = "Features for Behavioral Anomaly Detection of Connectionless Network Buffer Overflow Attacks",
   pages = "66--78",
   booktitle = "Information Security Applications - 17th International Workshop, WISA 2016, Jeju Island, Korea, August 25-27, 2016, Revised Selected Papers",
   series = "Lecture Notes in Computer Science",
   journal = "Lecture Notes in Computer Science",
   volume = 10144,
   number = 1,
   year = 2017,
   location = "Jeju Island, KR",
   publisher = "Springer International Publishing",
   ISBN = "978-3-319-56549-1",
   ISSN = "0302-9743",
   doi = "10.1007/978-3-319-56549-1\_6",
   language = "english",
   url = "https://www.fit.vut.cz/research/publication/10931"
}
Soubory
Nahoru