Другие журналы

научное издание МГТУ им. Н.Э. Баумана

НАУКА и ОБРАЗОВАНИЕ

Издатель ФГБОУ ВПО "МГТУ им. Н.Э. Баумана". Эл № ФС 77 - 48211.  ISSN 1994-0408

Подходы к созданию самонастраивающихся высокоинтерактивных клиентских обманных систем

# 08, август 2016
DOI: 10.7463/0816.0844738
Файл статьи: SE-BMSTU...o201.pdf (413.79Кб)
автор: Артюшкин А. С.1,*

УДК 004.492.3

1 МГТУ им. Н.Э. Баумана, Москва, Россия

В статье рассмотрена проблема обнаружения вредоносных объектов по поведенческим признакам с помощью высокоинтерактивных клиентских обманных систем. Основное внимание уделено проблеме получения поведенческих признаков, пригодных для обнаружения атак с зараженных интернет-ресурсов. Изложены условия необходимые для срабатывания современных эксплойтов для браузеров в ловушках высокоинтерактивных клиентских обманных систем. Введено понятие эффективности клиентской обманной системы, основанное на производительности и точности обманной системы.  
Предложен метод оптимизации параметров обманных систем для повышения эффективности обнаружения вредоносных объектов. Рассматривается сценарий оптимизации обманной системы под известные угрозы, для обнаружения поведения которых экспертами уже написаны правила. Метод опирается на результаты запусков задач по сканированию зараженных интернет-ресурсов и автоматически собираемые данные, что позволяет использовать его для автоматической настройки обманных систем. Детально рассмотрена зависимость возможности обнаружения вредоносного поведения от конфигурации клиентских обманных систем. Проанализирована зависимость времени загрузки файлов от выбора VPN-шлюза, с которого ловушка обманной системы выходит во внешнюю сеть. Изложены результаты использования метода геолокации по задержкам отклика от целевого сервера. Предложен алгоритм поиска уязвимых версий устанавливаемого на ловушки программного обеспечения. Предложено и обосновано результатами экспериментов применение алгоритма седлового поиска для оптимизации количества ловушек обманной системы и интервала времени сканирования.
Метод проверен экспериментальным путем на высокоинтерактивной обманной системе с открытым исходным кодом. Полученные результаты подтверждают применимость предложенного метода в промышленных средствах динамического анализа приложений. В дальнейшем планируется использовать оптимизируемые по предложенному методу высокоинтерактивные клиентские обманные системы для массового сканирования потенциально зараженных интернет-ресурсов.

Список литературы
  1. Richard S. Bird. Improving Saddleback Search: A Lesson in Algorithm Design. In: Mathematics of Program Construction. 2006. Vol. 4014 of the series Lecture Notes in Computer Science. Pp. 82-89. DOI: 10.1007/11783596_8
  2. Алейнов Ю.В. Об оптимальной конфигурации обманных систем в компьютерной сети предприятия // Вестн. Сам. гос. техн. ун-та. Сер. Физ.-мат. науки. 2013. № 4 (33). C. 107–114. DOI: 10.14498/vsgtu1259
  3. James A. Muir, Paul. C. van Oorschot. Internet Geolocation and Evasion and Counterevasion // ACM Computing Surveys. 2009. Vol. 42. No. 1. DOI: 10.1145/1592451.1592455
  4. Matthijs G.T. van Polen, Giovane C.M. Moura, Aiko Pras Finding and Analyzing Evil Cities on the Internet // Managing the Dynamics of Networks and Services. 5th International Conference on Autonomous Infrastructure, Management and Security. AIMS 2011. Nancy. France. June 13-17. 2011. Proceedings. Pp. 38-48. DOI: 10.1007/978-3-642-21484-4_4
  5. Muneeb Mirza, Muhammad Usman, Robert P. Biuk-Aghai, Simon Fong. A Modular Approach for Implementation of Honeypots in Cyber Security // International Journal of Applied Engineering Research. 2016. Vol. 11. No. 8. Pp. 5446-5451.
  6. Yi-Min Wang, Doug Beck, Xuxian Jiang, Roussi Roussev. Automated Web Patrol with Strider HoneyMonkeys: Finding Web Sites That Exploit Browser Vulnerabilities // Microsoft.com : веб-сайт компании. Режим доступа:http://research.microsoft.com/apps/pubs/default.aspx?id=70182 (Дата обращения 20.05.2016)
  7. Supinder Kaur, Harpreet Kaur Client Honeypot Based Malware Program Detection Embedded Into Web Pages // Supinder Kaur et al Int. Journal of Engineering Research and Applications. 2013. Vol. 3. No. 6. Pp. 849-854.
  8. Yuanyuan Grace Zeng, David Coffey, John Viega. How Vulnerable Are Unprotected Machines on the Internet? // Passive and Active Measurement. 15th International Conference. PAM 2014. Los Angeles. CA. USA. March 10-11. 2014. Proceedings. Pp. 224-234 DOI: 10.1007/978-3-319-04918-2_22
  9. Giancarlo De Maio, Alexandros Kapravelos, Yan Shoshitaishvili, Christopher Kruegel, Giovanni Vigna. PExy: The Other Side of Exploit Kits. In: Detection of Intrusions and Malware, and Vulnerability Assessment. Vol. 8550 of the series Lecture Notes in Computer Science. 2014. Pp. 132-151 DOI: 10.1007/978-3-319-08509-8_8
  10. Luis Rocha Neutrino Exploit Kit Analysis and Threat Indicators // SANS: веб-сайт. Режим доступа:https://www.sans.org/reading-room/whitepapers/detection/neutrino-exploit-kit-analysis-threat-indicators-36892 (дата обращения 25.06.2016)
  11. D. Kirat, G. Vigna, C. Kruegel Barecloud: Bare-metal Analysis-based Evasive Malware Detection // 23rd USENIX Security Symposium (USENIX Security 14). USENIX Association. San Diego, CA. 2014. Pp. 287–301. Режим доступа: https://www.usenix.org/conference/usenixsecurity14/technical-sessions/presentation/kirat (дата обращения 27.05.2016)
Поделиться:
 
ПОИСК
 
elibrary crossref ulrichsweb neicon rusycon
 
ЮБИЛЕИ
ФОТОРЕПОРТАЖИ
 
СОБЫТИЯ
 
НОВОСТНАЯ ЛЕНТА



Авторы
Пресс-релизы
Библиотека
Конференции
Выставки
О проекте
Rambler's Top100
Телефон: +7 (915) 336-07-65 (строго: среда; пятница c 11-00 до 17-00)
  RSS
© 2003-2020 «Наука и образование»
Перепечатка материалов журнала без согласования с редакцией запрещена
 Тел.: +7 (915) 336-07-65 (строго: среда; пятница c 11-00 до 17-00)