This item is provided by the institution :

Repository :
E-Locus Institutional Repository
see the original item page
in the repository's web site and access all digital files if the item*

2005 (EN)
Ανίχνευση Πρωτοεμφανιζόμενων Worms
Detection of Zero-Day Worms

Ακριτίδης, Περικλής (EL)
Akritidis, Periklis (EN)

Το διαδίκτυο είναι γεμάτο από απειλές για την ασφάλεια των Η/Υ. Πολλές επιθέσεις μεγάλης κλίμακας εμπλέκουν αυτο-αναπαραγώμενα προγράμματα που μεταδίδονται από υπολογιστή σε υπολογιστή μέσω του δικτύου και στην πολύχρωμη ορολογία των υπολογιστών ονομάζονται σκουλήκια του διαδικτύου (Internet worms). Πρόσφατα περιστατικά δείχνουν ότι τα worms μπορούν να εξαπλωθούν τόσο γρήγορα ώστε οποιαδήποτε έγκαιρη αντιμετώπιση που στηρίζεται σε ανθρώπινη παρέμβαση είναι αδύνατη, και ώς εκ τούτου, η αρχική αντίδραση σε μια επιδημία πρέπει να είναι αυτόματη. Το πρώτο βήμα για την αντιμετώπιση άγνωστων μέχρι τώρα worms είναι η απόκτηση της δυνατότητας να ανιχνευτούν και να χαρακτηριστούν κατά τα πρώτα στάδια της εξάπλωσης τους. Σε αυτήν την εργασία εξερευνούμε τεχνικές για την ανίχνευση πρωτοεμφανιζόμενων worms. Σημείο εκκίνησης είναι η παρατήρηση ότι όλα τα μέχρι σήμερα γνωστά worms είχαν μεγάλες ομοιότητες μεταξύ των δειγμάτων τους. Στηριζόμενοι σε αυτήν την παρατήρηση παρουσιάζουμε μια μέθοδο ανίχνευσης νέων worms που ονομάζουμε EAR και στηρίζεται στην αναγνώριση ομοιότητας μεταξύ των περιεχομένων των πακέτων που αποστέλονται σε πολλούς προορισμούς. Αξιολογούμε τη μέθοδο χρησιμοποιόντας πραγματική κίνηση που περιέχει πραγματικα worms. Τα αποτελέσματα δείχνουν ότι η μέθοδος μπορεί να ανιχνεύσει νέα worms ενώ ταυτόχρονα ο αριθμός των ψευδών συναγερμών μπορεί να μειωθεί μέχρι και το μηδέν. Όμως, είναι δυνατόν, αν και δεν έχει παρατηρηθεί ακόμα στο διαδίκτυο, οι επιθέσεις να συσκοτιστούν με τρόπο ώστε να μην έχουν κοινά περιεχόμενα μεταξύ των διαφορετικών δειγμάτων του ίδιου worm. Για να αντιμετωπίσουμε αυτό το πρόβλημα, σχεδιάσαμε έναν νέο μηχανισμό ανίχνευσης που ονομάζεται STRIDE και προσφέρει τις παρακάτω τρείς βελτιώσεις ως προς τους προηγούμενους του είδους του: ανιχνεύει επιπλέον είδη επιθέσεων που ξεφεύγουν από προηγούμενες τεχνικές, έχει χαμηλότερο αριθμό από ψευδείς συναγερμούς, και είναι σημαντικά πιο φθηνός υπολογιστικά, και άρα πιο κατάλληλος για χρήση στο επίπεδο του δικτύου. Τέλος, ενσωματώσαμε τους παραπάνω μηχανισμούς σε μια εφαρμογή παθητικής εποπτείας του δικτύου που ανιχνεύει πρωτοεμφανιζόμα worms και παράγει υπογραφές με την μορφή περιεχομένων πακέτων, αριθμού της υπηρεσίας που προσβάλλεται, ή μαύρης λίστας από υπολογιστές που εξαπλώνουν την επιδημία. (EL)
The Internet is abound with computer security threats. Many high-visibility attacks involve network-borne, self-replicating programs, called worms. Recent incidents suggest that Internet worms can spread so fast that in-time human-mediated reaction is not possible, and therefore initial response to the outbreaks has to be automated. The first step towards combating new, unknown, so-called, zero-day worms is the ability to detect and identify them at the initial stages of their spread. In this work, we explore techniques for detecting zero-day worms. Our starting point is the observation that all worms to this day have included substantial commonality among their instances. Based on this observation we present a novel method for detecting new worms called EAR, based on identifying similar packet contents directed to multiple destination hosts. We evaluate our method using real traffic traces that contain real worms. Our results suggest that our approach is able to identify novel worms while at the same time the generated false alarms reach as low as zero percent. However, it is possible for attackers to obfuscate attacks so that no common substring can be used as a characteristic signature. To address this problem, we have designed a new buffer-overflow attack detection heuristic, called STRIDE, that offers three main improvements over previous work: it detects several types of polymorphic attacks that other techniques are blind to, has a lower rate of false positives, and is significantly more computationally efficient, and hence more suitable for use at the network-level. Finally, we have integrated these detection techniques into a passive network monitoring application that will identify new worms and extract signatures in the form of content substrings, destination port numbers, and address black-lists to block the worm at the network level. (EN)

Τύπος Εργασίας--Μεταπτυχιακές εργασίες ειδίκευσης


Σχολή/Τμήμα--Σχολή Θετικών και Τεχνολογικών Επιστημών--Τμήμα Επιστήμης Υπολογιστών--Μεταπτυχιακές εργασίες ειδίκευσης

*Institutions are responsible for keeping their URLs functional (digital file, item page in repository site)