Tarmoqqa noqonuniy kirish, axborotlardan foydalanish va o‘zgartirish, yo‘qotish kabi muammolardan himoya qilish dolzarb masala bo‘lib qoldi

Download 0,52 Mb.

bet	2/3
Sana	01.07.2022
Hajmi	0,52 Mb.
	#726574

1 2 3

Bog'liq
Mustaqil.tarmoq

//The attacker is from Internet

competent(employee).
//The user of the workstation is a competent employee

hacl(workStation,internet,httpProtocol,httpPort). //Workstation can be accessed from Internet

hasAccount(employee,workStation,root).
//The employee has root privilege on the workStation

isClient(MaliciousSite).
//The employee accessed a malicious link

eviExists(workStation,'CVE-2009-1918',MalicousSite).
//The workstation has CVE-2009-1918 vulnerability, which can be triggered by accessing a malicious link

vulProperty('CVE-2009-1918',remoteClient,privEscalation). //This vulnerability allows the attacker comprise the machine

MulVAL-dagi mantiqiy bayonot va fikrlash juda kata hujum grafigining hajmi murakkabligini pasaytiradi. Biroq, hatto ushbu modelda ham mantiqiy hujum grafigi hali ham juda kata hatto kichik tarmoq uchun, bu fikrlash mexanizmi beri barcha mumkin bo'lgan hosila yo'llarini bosib o'tadi. Sud ekspertizasi tahlilchilari Bunday hujum grafigiga qarash uchun vizualizatsiya vositalari kerak. Bundan tashqari, chunki bunday mantiqiy hujum grafigi tuzilgan zaiflik ma'lumotlaridan foydalangan holda, ba'zi hujum yo'llari mos keladigan bo'lsa, etishmayotgan yoki noto'g'ri bo'lishi mumkin ekspluatatsiya/zaiflik haqidagi ma'lumotlar to'liq yoki to'g'ri emas [16]. Bu kamchiliklar hujumdan foydalanishimizga to'sqinlik qiladi sud-tibbiyot ekspertizasi tahlilini o'tkazish uchun grafik, buning sababi biz sud tibbiyoti uchun hujum stsenariylarini qurish uchun dalillardan foydalaning tahlil. Ushbu maqolada biz foydalanishni va kengaytirishni taklif qilamiz Bunga erishish uchun MulVAL fikrlash qoidalari.

shartli. Chunki ba'zi zararli harakatlar bo'lishi mumkin yaxshi ko'ring, biz tegishli oddiy tarmoq trafigini toifalarga ajratamiz ikkinchi darajali dalillarga kirish. Biz asosan birlamchidan foydalanamiz
hujum stsenariylarini qayta tiklash uchun dalillar. Faqat qachon Birlamchi dalillar mavjud emas, biz mos keladiganlardan foydalanamiz ikkinchi darajali dalillar.
Tajribamizda biz quyidagi ogohlantirishlarni asosiy sifatida oldik dalil: (A) “SHELLCODE x86 inc ebx NOOP” ogohlantirishlari tajovuzkordan ish stantsiyalariga; (2) “SQL Injection urinish --1=1” tajovuzkordan ogohlantiradi
"Portal" veb-xizmati; (3) “WEB-MISC saytlararo script urinish” tajovuzkordan administratorga ogohlantirish. Bizning ikkinchi dalil tomonidan qayd etilgan boshqa jurnal ma'lumotlarini o'z ichiga oladi veb-serverlar va barchasini o'z ichiga olgan ma'lumotlar bazasi server mijozlarning veb-saytiga kirish va ma'lumotlar bazasi so'rovlari tarixi. Chunki XSB-ODBC interfeysi XSB foydalanuvchilariga imkon beradi ODBC ulanishlari orqali ma'lumotlar bazalarini so'rang, biz rasmiylashtiramiz Quyidagi atributlardan foydalangan holda SQL yozuvlari uchun dalillar: ID, vaqt tamg‘asi, manba IP, maqsad IP, kontent, Zaiflik va tasdiqlash (misol sifatida 4-jadvalga qarang). Bu erda "zaiflik" mos keladigan NVD elementiga ega dalillarga [19]. "Tasdiqlash" uchun ishlatiladi qabul qilinishi mumkinligi haqidagi ma'lumotnoma, chunki ogohlantirish noto'g'ri ogohlantirish bo'lishi mumkin yoki hujum muvaffaqiyatli bo'lmasligi mumkin. Hujumni tasdiqlash uchun biz hujum qilingan xostni tekshirish uchun tergov vositalaridan foydalaning kompyuterlar, hujum muvaffaqiyatli amalga oshirilganligini tasdiqlaydi ishga tushirildi. Chunki bir nechta bir xil ogohlantirishlar yoki jurnallar mavjud saqlashni saqlash uchun bir xil hujumdagi elementlar va samaradorlikni oshirish, biz faqat bitta nusxasini saqlaymiz takroriy ogohlantirishlar. Bundan tashqari, biz zaiflikni rasmiylashtiramiz NVD dan ma'lumotlar bazasi jadvaliga 5-jadvaldan foydalangan holda ma'lumot mos kelishining maqbulligini oldindan baholash uchun zaiflik xususiyatlarini so'rash orqali dalil. Uchun masalan, 5-jadvalga ko'ra, faqat "CVE-2009-1918" IE da ishlaydi, shuning uchun ogohlantirishning a ga yo'l qo'yilishi Linux mashinasi nolga teng bo'lishi kerak. Qabul qilinishiga qadar hakam, lekin bizning baholashimiz muhim bo'lishi mumkin sudga havola.
6.2 Korrelyatsiya 1-bosqich: Induktiv fikrlash Ogohlantirishlar va boshqa dalillarni o'zaro bog'lash uchun biz quyidagilarni olamiz
ikr yuritish tartibi sifatida oldindan ishlangan dalillarning vaqt tamg'asi agar hujum holatlari o'rtasida biron bir sababiy bog'liqlik mavjud bo'lsa tegishli dalillar bilan ifodalanadi. Chunki MulVAL fikrlash qoidalari zaiflik ma'lumotlari sifatida foydalanadi Datalog literallari, biz mos keladigan "zaiflik" dan foydalanamiz dalilni ifodalash. Bunday holda, biz olishimiz mumkin

ID	Category	Tool	Technique	Windows	Linux	Priviledge	Access	Vulneraibility	Effect
A1	Attack tool		Obfuscate signature	All	All	User	Internet	SNORT Rule	Bypass being detected by rules
D1	Destroy data	BCWipe	Delete file content	98 Above	All	User	Computer		Delete data permanently
D2	Destroy data		Remove log file	All	All	User	Internet	MySql 5.0 above set log off command	Set general log off
..	…

6.3 Korrelyatsiya 2-bosqich: O'g'irlash
Agar induktiv fikrlash dalillarni o'zaro bog'lay olmasa Hujum qadamini shakllantirish uchun Alert/Log dalillar jadvali, biz foydalanamiz berilgan bo'lagining sababini topish uchun abduktiv fikrlash ogohlantirish / jurnalga dalil. ning kombinatsiyalari bo'lishi mumkin mumkin bo'lgan hodisalar va berilganni keltirib chiqarishi mumkin bo'lgan holatlar mavjud ogohlantirish yoki jurnal ma'lumotlarining bir qismi. Ya'ni, agar an hujum oqibati (post shartlar) berilgan ogohlantirish/jurnal daliliga mos keladigan voqea stsenariysi fragmenti, hodisani yuzaga keltiruvchi sabablardan biri deb hisoblaymiz bilan bog'lanishi kerak bo'lgan dalil berilgan berilgan ogohlantirish/jurnal dalil. Bu jarayon orqada o'tish korrelyatsiyasi. Abduktiv fikrlash uchun gipoteza kerak. Xususan, berilgan dalillarni tahlil qilish orqali (tasdiqlangan ogohlantirish yoki jurnal ma'lumotlari), sud ekspertlari ulardan foydalanishlari mumkin empirik ekspert bilimlari yoki NVD maslahat ma'lumotlar bazasi qanday hujum hujum natijasiga olib kelishini taxmin qiling berilgan dalillar bilan ifodalanadi. Ushbu gipotezani qo'llash orqali hujum sababi sifatida biz yuqorida aytib o'tilganidek induktiv fikr yuritamiz 6.2 da biz kutilgan natijani olishimiz mumkinmi yoki yo'qmi berilgan dalillarga mos keladi. Bunday o'yin yoki bir nechta bo'lsa o'yinlar mavjud bo'lsa, bu gipoteza bo'lishi mumkinligini isbotlaydi tomonidan ifodalangan hujum natijasining o'ng hujum sababi berilgan dalillar. Shuning uchun tergovchilar tergov qilishlari mumkin isbotlash uchun qo'llab-quvvatlovchi dalillarni topish uchun va gipotezani tasdiqlang. 6.2-bandda aytib o'tilganidek, Agar qo'llab-quvvatlovchi dalillar bo'lmasa, sudga qarshi ma'lumotlar bazasi va [12] da tasvirlangan texnika bo'lishi kerak foydalanish mumkin, chunki tajovuzkor har qanday dalillarni yo'q qilish uchun sudga qarshi usullardan foydalangan bo'lishi mumkin. Turli sud ekspertlari boshqacha bo'lishi mumkin mulohazalar va mudofaa buni rad etishi mumki prokuratura tomonidan taqdim etilgan yoki taqdim etilgan dalillar tomonidan taqdim etilgan dalillarga mos keladigan muqobil stsenariy ayblov. Shunday qilib, biz bir xil fikrlash qoidalarini qo'llaymiz berilgan hujum sababi bo'yicha barcha mumkin bo'lgan farazlar dalillar, olingan natijalarni solishtirish, ulardan birontasini ko'rish ular muqobillardan ko'ra oqilona va ishonchliroqdir. Turli gipotezalarni osongina solishtirish uchun biz turli xil ko'rsatish uchun GUI interfeysini amalga oshirdi gipotezalar va ularning tegishli olingan natijalari fikrlash6.4 3-bosqich: Global mulohazalar Ushbu bosqichda biz dalillar bo'yicha yakuniy ekspertiza o'tkazamiz 1 va 2 bosqichda yaratilgan grafiklar to'liq bo'lmagan hujum yo'llari bor, chunki faqat ketma-ket hujum bosqichlari o'zaro bog'liqdir. Buning uchun biz xaritani tuzamiz tegishli mantiqiy dalillar grafiklarini tuzdi hujum, qo'llab-quvvatlanmaydigan hujum yo'li mavjudligini tekshirish Agar bunday qo'llab-quvvatlanmaydigan hujum yo'li mavjud bo'lsa, bilan mantiqiy hujum grafigi tomonidan taqdim etilgan ma'lumotlar, biz qilamiz 2-bosqichdan boshlab o'g'irlab ketish, qo'llab-quvvatlanmasligini ko'rish hujum yo‘li tugallanishi mumkin edi. Bizning qog'ozimiz [11] mavjud xaritalash algoritmi haqida batafsil muhokama, qaysi bu yerda ishlatiladi. Hujum grafigining hajmini kamaytirish uchun biz faqat tegishli zaiflik va tarmoq/kompyuterdan foydalaning pastki hujum grafigini olish uchun konfiguratsiya [18]. 7. XULOSALAR Biz tarmoq kriminalistikasi modelini taklif qildik, bu Prolog mantiqqa asoslangan MulVAL tizimini kengaytiradi dalillar o'rtasidagi sababiy bog'liqlikni avtomatlashtirish korxona tarmog'idagi xavfsizlik hodisalaridan to'plangan. In Ushbu modelda biz turli xil usullardan foydalanamiz, shu jumladan induktiv fikrlash, o'g'irlash va dalillarni xaritalash dalil grafigini qurish uchun mantiqiy hujum grafigiga tarmoq sud ekspertizasi tahlili. Muammoni hal qilish uchun etishmayotgan dalillar, sud-tibbiyotga qarshi ma'lumotlar bazasi va izlash uchun turli mutaxassislarning turli farazlaridan foydalaniladi
hujum qanday bo'lganligi haqidagi eng oqilona tushuntirish ishga tushirildi va nima uchun dalillar yo'q edi. Bizning ishimiz tadqiqot shuni ko'rsatdiki, bunday fikrlash tizimi avtomatlashtirishi mumkin vaziyatlarda ham tarmoq sud ekspertizasi tahlili tajovuzkor dalillarni yo'q qilgan joyda. Ogohlantirish Ushbu maqola Qo'shma Shtatlarda mualliflik huquqi ob'ekti emas. Tijorat mahsulotlari etarli darajada aniqlangan muayyan tartib-qoidalarni belgilang. Hech qanday holatda bunday qilmaydi identifikatsiya tavsiya yoki ma'qullashni anglatadi Milliy standartlar va texnologiyalar instituti, na Bu aniqlangan mahsulotlarning majburiy ekanligini bildiradimi? maqsadida eng yaxshi mavjud.

Download 0,52 Mb.

Do'stlaringiz bilan baham:

1 2 3