Κατανεμημένο σύστημα εντοπισμού σύγχρονου shellcode

Abstract

Τα Συστήματα Εντοπισμού Διαδικτυακής Διείσδυσης είναι εξειδικευμένες συσκευές υλικού ή προγράμματα λογισμικού, τα οποία έχουν σχεδιαστεί και κατασκευαστεί με σκοπό τον εντοπισμό κακόβουλης κίνησης στο δίκτυο. Οι τεχνικές που χρησιμοποιούνται κατά τον έλεγχο των πακέτων της κίνησης στο δίκτυο είναι σε θέση να ανιχνεύσουν οποιαδήποτε δυνητική απειλή. Για αυτόν τον λόγο θεωρούνται σημαντικές, καθώς είναι το πιο κρίσιμο μέρος προκειμένου να είναι αποτελεσματικό ένα Σύστημα Εντοπισμού Δικτυακής Διείσδυσης. Οι επιτιθέμενοι, από την πλευρά τους, για να παρακάμψουν αυτά τα συστήματα, άρχισαν να δημιουργούν φορτία που δεν εντοπίζονται. Τα εν λόγω φορτία, τα οποία αποκαλούνται πολυμορφικά shellcodes, είναι σε θέση να κρυφθούν ή να μεταλλαχθούν ώστε να παρακάμψουν αυτούς τους μηχανισμούς ασφαλείας. Επομένως, σε αυτήν τη διατριβή παρουσιάζεται μία νέα Μηχανή, η οποία είναι ικανή να ανιχνεύει αυτού του είδους τα shellcodes ειδικά για 32-bit Windows λειτουργικά συστήματα σε ένα δίκτυο. Με το να προσομοιώνει στοιχεία ενός λειτουργικού συστήματος Windows, αυτή η Μηχανή αυξάνει την ανθεκτικότητά του και την αποτελεσματικότητά του σε σύγκριση με εναλλακτικές λύσεις. Επιπλέον, η εν λόγω Μηχανή ενσωματώνεται στο SEDUCE, ένα κατανεμημένο σύστημα ανίχνευσης shellcode που χρησιμοποιεί προσομοίωση CPU για τον έλεγχο της κίνησης στο δίκτυο.