Detail publikace

Features for Behavioral Anomaly Detection of Connectionless Network Buffer Overflow Attacks

HOMOLIAK, I.; ŠULÁK, L.; HANÁČEK, P. Features for Behavioral Anomaly Detection of Connectionless Network Buffer Overflow Attacks. In Information Security Applications - 17th International Workshop, WISA 2016, Jeju Island, Korea, August 25-27, 2016, Revised Selected Papers. Lecture Notes in Computer Science. Lecture Notes in Computer Science. Jeju Island: Springer International Publishing, 2017. p. 66-78. ISBN: 978-3-319-56549-1. ISSN: 0302-9743.

Název česky

Anomální Behaviorální Analýza Nespojově Orientovaných Síťových Útoků Prováděných Prostřednictvím Zneužití Zranitelností Přetečení Zásobníku

Typ

článek ve sborníku konference

Jazyk

anglicky

Autoři

Homoliak Ivan, Ing., Ph.D. (UITS)
Šulák Ladislav, Ing.
Hanáček Petr, doc. Dr. Ing. (UITS)

URL

https://link.springer.com/chapter/10.1007%2F978-3-319-56549-1_6

Klíčová slova

Buffer overflow, Connectionless traffic, SIP, TFTP, UDP vulnerabilities, NBAD, Naive Bayes

Abstrakt

Buffer Overflow (BO) útoky jsou jedny z největších hrozeb v oblasti bezpečnosti počítačových sítí. Metody detekce BO útoků obvykle používají jeden ze dvou přístupů: analýza na základě porovnání signatur s obsahem paketů versus analýza hlaviček paketů s behaviorální analýzou toku dat. Druhý přístup je zaměřen na detekci BO útoků bez ohledu na obsah paketu, jelikož ten může být zašifrován. V tomto článku navrhujeme techniku založenou na behaviorální detekci anomálií v síti (NBAD) zaměřenou na nespojovaně-orientovanou komunikaci. Podobného přístupu bylo užito již v předešlých pracích, ty však byly zaměřeny na komunikaci spojovaně-orinetovanou. Ne všechny principy NBAD pro spojovaně-orinetovanou komunikaci lze přenést na komunikaci nespojovaně-orinetovanou. Zde je tak navržena množina diskriminujících rysů popisující chování BO útoků v nespojovaně-orinetované komunikaci a implementován nástroj pro jejich offline extrakci ze zachyceného komunikačního provozu. Dále popisujeme shromažďování dat provedené ve virtualizovaném síťovém prostředí s užitím exploitů pro SIP a TFTP služby, následované experimenty s technikami pro dolování dat využívající strojového učení s učitelem (ML) a Naivní Bayesovský klasifikátor. Zneužití zranitelností služeb je provedeno modifikací síťového provozu se záměrem simulovat reálné podmínky v síti. Výsledky experimentů ukazují, že navržený přístup je schopen rozlišit BO útoky od legitimního síťového provozu s vysokou přesností a odezvou klasifikace.

Rok

2017

Strany

66–78

Časopis

Lecture Notes in Computer Science, roč. 10144, č. 1, ISSN 0302-9743

Sborník

Information Security Applications - 17th International Workshop, WISA 2016, Jeju Island, Korea, August 25-27, 2016, Revised Selected Papers

Řada

Lecture Notes in Computer Science

Konference

The 17th World Conference on Information Security Applications, Jeju Island, South Korea, KR

ISBN

978-3-319-56549-1

Vydavatel

Springer International Publishing

Místo

Jeju Island

DOI

10.1007/978-3-319-56549-1_6

UT WoS

000426125100006

EID Scopus

2-s2.0-85017660421

BibTeX

@inproceedings{BUT134712,
  author="Ivan {Homoliak} and Ladislav {Šulák} and Petr {Hanáček}",
  title="Features for Behavioral Anomaly Detection of Connectionless Network Buffer Overflow Attacks",
  booktitle="Information Security Applications - 17th International Workshop, WISA 2016, Jeju Island, Korea, August 25-27, 2016, Revised Selected Papers",
  year="2017",
  series="Lecture Notes in Computer Science",
  journal="Lecture Notes in Computer Science",
  volume="10144",
  number="1",
  pages="66--78",
  publisher="Springer International Publishing",
  address="Jeju Island",
  doi="10.1007/978-3-319-56549-1\{_}6",
  isbn="978-3-319-56549-1",
  issn="0302-9743",
  url="https://link.springer.com/chapter/10.1007%2F978-3-319-56549-1_6"
}