Тема: Обнаружение сетевых червей на основе анализа встречаемости вредоносного кода в сетевом трафике.
Расшифровка темы: Основная идея в обнаружении распространения червей с помощью постоянного мониторинга канала и выявления участков шеллкода на основе работ Эдуарда Торощина и Нгуен Тхой Минь Куана прошлого года. При обнаружении какого-то "нового", ранее не встречавшегося участка, начинаем следить за частотой его встречаемости в канале. Если для какого-то шеллкода наблюдаем экспоненциальный рост, считаем это распространением червя.
Основные проблемы:
- шеллкодов-кандидатов, за которыми надо следить, может быть очень много (сотни тысяч, миллионы одновременно);
- в тупиковых автономных системах и на магистральных каналах картинка может резко отличаться;
- особняком стоит вопрос тестирования - как провести эксперимент, который хоть что-то покажет (применимость или неприменимость идеи).
Актуальность: Методы обнаружения вредоносного кода в сети сейчас активно развиваются и направлены, чаще всего, именно на обнаружение сетевых червей и ботнетов в процессе развёртывания.
Цель работы: Разработка прототипа системы раннего обнаружения эпидемий сетевых червей на основе анализа частоты встречаемости участков исполнимого кода в сетевом трафике.
Постановка задачи: Задачей курсовой работы является исследование алгоритмов выявления экспоненциальных участков сигнала в канале с шумом и их использование в приложении к обнаружению участков вредоносного исполнимого кода, разработка прототипа системы обнаружения сетевых червей на базе СОА "REDSecure" и тестирование прототипа на модельном трафике.
План работы:
1. Изучение методов выявления шеллкода в сетевом трафике: NOP-зон, распаковщиков и дешифраторов, полезной нагрузки, зоны адресов возврата.
2. Изучение алгоритмов выявления характерного (участков экспоненциального роста) сигнала в канале с шумом.
3. Реализация простого алгоритма на основе анализа первой производной частоты встречаемости участка кода на базе реализации NOP-детектора Эдуарда Торощина.
4. Эксперименты с Metaspoit Framework, ADMutate.
5. Эксперименты на модельном трафике (по архивным данным CodeRed xx, Slammer, Storm, etc).
6*. Эксперименты на реальном канале.
* Если дадут.
Ожидаемые результаты: Прототип системы обнаружения сетевых червей и ботнетов на этапе развёртывания.
Денис Гамаюнов / Илья Булгаков, 3 курс, sec-sem
Модератор: Сотрудники лаборатории
-
- Аспирант
- Сообщения: 179
- Зарегистрирован: 23 сен 2008 01:19 pm
-
- Студент
- Сообщения: 1
- Зарегистрирован: 14 сен 2008 03:09 am
Отчет по курсовой работе
«Обнаружение сетевых червей на основе анализа встречаемости вредоносного кода в сетевом трафике»
Студента 322 группы Булгакова Ильи
Научный руководитель: Гамаюнов Денис Юрьевич
Актуальность темы
Методы обнаружения вредоносного кода в сети сейчас активно развиваются и направлены, чаще всего, именно на обнаружение сетевых червей и ботнетов в процессе развёртывания.
Цель работы
Разработка прототипа системы раннего обнаружения эпидемий сетевых червей на основе анализа частоты встречаемости участков исполнимого кода в сетевом трафике.
Постановка задачи
Задачей курсовой работы является исследование алгоритмов выявления экспоненциальных участков сигнала в канале с шумом и их использование в приложении к обнаружению участков вредоносного исполнимого кода, разработка прототипа системы обнаружения сетевых червей на базе СОА "REDSecure" и тестирование прототипа на модельном трафике.
Результаты работы за 5семестр
Теоретическая часть:
1. Подготовлена формальная постановка задачи обнаружения сетевых червей в реальном времени.
2. Изучены методы выявления шеллкода в сетевом трафике на базе обзоров, приведенных в работах Эдуарда Торощина и Нгуен Тхой Минь Куана 2007 года.
3. Изучены существующие методы обнаружения сетевых червей в реальном времени.
4. Подготовлена первая версия обзора по методам из пункта 3.
Практическая часть:
1. Изучены исходники детектора шеллкода, реализованного Эдуардом Торощиным.
2. Изучены правила написания сценариев для СОА "REDSecure", написано несколько пробных сценариев.
3. Написан класс для хранения статистики встречаемости кодов и анализа.
План работы на 6 семестр
1. Закончить реализацию сценария для СОА "REDSecure".
2. Расширить обзор другими методами обнаружения сетевых червей в реальном времени.
3. Изучение Metaspoit Framework, ADMutate.
4. Эксперименты на модельном трафике (по архивным данным CodeRed? xx, Slammer, Storm, etc).
5. Эксперименты на реальном канале, если будет возможность.
Литература
1. Торощин Э. «Исследование возможности обнаружения успешных компьютерных атак на основе выявления участков исполнимого кода в сетевом трафике» //Курсовая работа, Москва 2008
2. Нгуен Тхой Минь Куан «Разработка средства обнаружения полиморфного исполняемого кода в сетевом трафике» //Дипломная работа, Москва 2008
3. Cliff C. Zou, Lixin Gao, Weibo Gong, Don Towsley «Monitoring and Early Warning for Internet Worms» [PDF] (ftp://gaia.cs.umass.edu/pub/Zou03_monitorworms.pdf)
4. Sumeet Singh, Cristian Estan, George Varghese, Stefan Savage «The EarlyBird System for Real-time Detection of Unknown Worms» [PDF] (http://www.cs.unc.edu/~jeffay/courses/n ... bird03.pdf)
5. Sumeet Singh, Cristian Estan, George Varghese, Stefan Savage «AutomatedWorm Fingerprinting» [PDF] (https://www.usenix.org/events/osdi04/te ... /singh.pdf)
6. Xuan Chen, John Heidemann «Detecting Early Worm Propagation through Packet Matching» [PDF] (http://isi.edu/div7/publication_files/Chen04a.pdf)
«Обнаружение сетевых червей на основе анализа встречаемости вредоносного кода в сетевом трафике»
Студента 322 группы Булгакова Ильи
Научный руководитель: Гамаюнов Денис Юрьевич
Актуальность темы
Методы обнаружения вредоносного кода в сети сейчас активно развиваются и направлены, чаще всего, именно на обнаружение сетевых червей и ботнетов в процессе развёртывания.
Цель работы
Разработка прототипа системы раннего обнаружения эпидемий сетевых червей на основе анализа частоты встречаемости участков исполнимого кода в сетевом трафике.
Постановка задачи
Задачей курсовой работы является исследование алгоритмов выявления экспоненциальных участков сигнала в канале с шумом и их использование в приложении к обнаружению участков вредоносного исполнимого кода, разработка прототипа системы обнаружения сетевых червей на базе СОА "REDSecure" и тестирование прототипа на модельном трафике.
Результаты работы за 5семестр
Теоретическая часть:
1. Подготовлена формальная постановка задачи обнаружения сетевых червей в реальном времени.
2. Изучены методы выявления шеллкода в сетевом трафике на базе обзоров, приведенных в работах Эдуарда Торощина и Нгуен Тхой Минь Куана 2007 года.
3. Изучены существующие методы обнаружения сетевых червей в реальном времени.
4. Подготовлена первая версия обзора по методам из пункта 3.
Практическая часть:
1. Изучены исходники детектора шеллкода, реализованного Эдуардом Торощиным.
2. Изучены правила написания сценариев для СОА "REDSecure", написано несколько пробных сценариев.
3. Написан класс для хранения статистики встречаемости кодов и анализа.
План работы на 6 семестр
1. Закончить реализацию сценария для СОА "REDSecure".
2. Расширить обзор другими методами обнаружения сетевых червей в реальном времени.
3. Изучение Metaspoit Framework, ADMutate.
4. Эксперименты на модельном трафике (по архивным данным CodeRed? xx, Slammer, Storm, etc).
5. Эксперименты на реальном канале, если будет возможность.
Литература
1. Торощин Э. «Исследование возможности обнаружения успешных компьютерных атак на основе выявления участков исполнимого кода в сетевом трафике» //Курсовая работа, Москва 2008
2. Нгуен Тхой Минь Куан «Разработка средства обнаружения полиморфного исполняемого кода в сетевом трафике» //Дипломная работа, Москва 2008
3. Cliff C. Zou, Lixin Gao, Weibo Gong, Don Towsley «Monitoring and Early Warning for Internet Worms» [PDF] (ftp://gaia.cs.umass.edu/pub/Zou03_monitorworms.pdf)
4. Sumeet Singh, Cristian Estan, George Varghese, Stefan Savage «The EarlyBird System for Real-time Detection of Unknown Worms» [PDF] (http://www.cs.unc.edu/~jeffay/courses/n ... bird03.pdf)
5. Sumeet Singh, Cristian Estan, George Varghese, Stefan Savage «AutomatedWorm Fingerprinting» [PDF] (https://www.usenix.org/events/osdi04/te ... /singh.pdf)
6. Xuan Chen, John Heidemann «Detecting Early Worm Propagation through Packet Matching» [PDF] (http://isi.edu/div7/publication_files/Chen04a.pdf)