外文翻译--通过规避警报服务器的回应来锻造.docVIP

通过规避警报服务器的回应锻造亚当d·托德·,理查德·a·Raines、不生锈o .鲍德温,巴里大肠Mullins,史蒂芬k .·罗杰斯空间研究中心, 空军技术学院的电气与计算机工程部门,2950霍伯森方式,建筑业642年,赖特-帕特森AFB,哦,45433 – 7765传感器董事会、空军研究实验室, 赖特-帕特森AFB,哦,45433 - 7765任何计算机网络必要的组件的辩护是入侵检测系统中的难点。网络管理员依靠方法检测攻击,但终究是自己的责任,对研究和确定IDS警报的损害。警报数量增加,IDS分析家转向自动化的方法,来帮助警惕地验证。摘要本研究调查这下一步的入侵检测过程。一些警报校验机制试图确认成功入侵企图基于服务器响应、协议分析。本研究考察了反应生成服务器由四个不同的利用在四个不同的Linux发行。其次,三个技术能锻造服务器Linux操作系统都是反应制定和实施。该研究表明,这些新方法可以规避警报攻击检定失败虽然开采出现的发生。这种类型的攻击检测并试图逃避忽视的认证过程。1 引言 入侵检测系统中的难点,已经变得非常重要部件的辩护任何计算机网络。两个政府机构和私营企业来检测方法使用各种各样的攻击,不能察觉到,或者被传统的防火墙。扩散方法的发展导致了许多不同的闪避攻击技术。网络管理员和计算机安全专业人士必须保持告知的电流保护技术和入侵检测系统(IDS)或规避风险离开他们的计算机网络黑客攻击。入侵检测过程识别异常活动,通常是一个试图迁就一个系统或消耗资源否认其他人进入[1]。方法产生警报引起管理员注意可能的恶意活动。黑客攻击将修改他们试图回避这些方法中的难点。大多数规避技术集中修改攻击完全规避中的难点。一些旧的攻击利用网络协议漏洞[2]的基础上,而更新的规避策略注重应用层(例如,URL混淆)[3]。作为入侵检测变得越来越复杂,所以做IDS规避技术。这一领域的研究主要集中在适应入侵检测策略来寻找新的攻击。当研究者和分析家可以更改的规则和检测方案,以表彰新规避方法中的难点,整个过程依赖于验证确定最终的成功或失败的攻击。警报数量增加,人类的分析师正在寻找自动化方法验证和分析这些警报。本研究着眼于开发的最后一个步骤入侵检测process-verification。该入侵检测系统可以检测所有的攻击,但最终的责任是确定是否入侵是成功的。通过改变行为的一个受损害的服务器,它是可能走出了一条成功规避验资攻击出现不成功的。2 Background 2.1 Intrusion Detection入侵检测入侵检测是一个过程,检测不合适,不正确的,或异常活动。这种行为常常是为了有一个系统违反保密,突破完整或否认可用的资源。入侵检测可以进行手动或自动。手动入侵检测通常由一位经验丰富的网络管理员检查记录。然而,这个过程通常是自动化用一个入侵检测系统[1]。当一个自动化的IDS检测一个可能的入侵或攻击,它记录相关信息并提醒管理人。如果事情是确定一个实际的入侵,成功的攻击,由此造成通常是采取行动的范围之外的大多数中的难点。另一个自动化系统,这是一个入侵预防系统(IPS),试图检测和阻止任何攻击才能够成功[1]。当IPSs可能是有效的,大多数网络管理员仍在使用中的难点。来的方法有两种:基于主机的入侵检测系统(IDS)(HIDS)和基于网络的入侵检测系统(NIDS)。一个HIDS监控一个主机系统调用和原木和检测,有时甚至特定的端口的活动。一个网络流量监控网络数据包从多个主机。一些现代的方法是一种由使用这些方法。本研究的焦点将会在NIDSs。2.2 Detection Techniques检测技术NIDSs使用各种不同的检测方法来观察并确定网络信息的流动是一种攻击或入侵。一些NIDSs识别模式的交通,然后使他们与已知的恶意活动的迹象。这个过程叫做误用检测。网络流量异常检测系统与基线比较“正常”的活动。每种技术是有效的,并且都有自己的优势和缺陷[4]。在误用检测、入侵检测的决定是基于一组预先定义好的规则。这些检测规则很简单的,也就是说它们定义过程中得到的预期行为攻击或入侵。当NIDS观察交通模式匹配这些规则,它收集信息,生成一个警报。虽然这种方法似乎很简单,这些规定必须非常严格的如果需要一个可接受的网络入侵检测系统检测和虚警率[5]。误用检测可以实现多种实现。最简单的入侵检测方法使用基本的字符串匹配。专家系统的安全状况确定系统给出一个更复杂的规则,然后检查网络流量的入侵或无效的特殊体征之间的过渡状态[5,6]。语境签名string-based延长的传统形式,包括附加信息签名的语境中,在分析网络流量可以帮助降低误报率的数量明显[7]。一个anomaly-based IDS检测入侵监测网络活动和分类它是正常或异常基于启发式而不是图案或签名。目的是为了发现任何交通,瀑布外的