Detail publikace
NBA of Obfuscated Network Vulnerabilities' Exploitation Hidden into HTTPS Traffic
Ovšonka Daniel, Ing. (UITS FIT VUT)
Grégr Matěj, Ing., Ph.D. (UIFS FIT VUT)
Hanáček Petr, doc. Dr. Ing. (UITS FIT VUT)
Tento článek se zabývá detekčními vlastnostmi obfuskovaných buffer overflow síťových útoků pomocí vybraných IDS a NBA. Obfuskace byla provedena tunelováním škodlivého provozu v protokolech HTTP a HTTPS s úmyslem napodobit obvyklé legitimní vlastnosti HTTP provozu. Byly použity buffer overflow zranitelnosti čtyř služeb: Samba, BadBlue, Apache, DCOM RPC. Útoky byly prováděny v prostředí virtuální sítě pomocí scénářů s podmínkami reálného provozu, stejně jako u legitimního provozu. Zachycené údaje byly zkoumány pomocí nástroje SNORT a ASNM síťových metrik AIPS, který zastupuje statisticky a behaviorálně založené NBA. Dosažené výsledky ukazují transparentnost obfuskovaných utoků při detekci SNORT-em a nízkou výkonností detekce AIPS trénovaném pomocí přímých útoků a legitimního provozu. Vysoká úspěšnost klasifikace byla dosažena u AIPS trénovaného se zahrnutím obfuskovaných útoků. Dolování dat bylo provádeno pomocí bi-nominální a poly-nominální klasifikace. Lepších výsledků bylo dosaženo poly-nominální klasifikací. V souhrnu klademe důraz na nutnost trénování statisticky a behaviorálně založených NBA s využitím rozdílných obfuskačních technik, aby posílily své schopnosti detekce.
@INPROCEEDINGS{FITPUB10658,
author = "Ivan Homoliak and Daniel Ov\v{s}onka and Mat\v{e}j Gr\'{e}gr and Petr Han\'{a}\v{c}ek",
title = "NBA of Obfuscated Network Vulnerabilities' Exploitation Hidden into HTTPS Traffic",
pages = "310--317",
booktitle = "Proceedings of International Conference for Internet Technology and Secured Transactions (ICITST-2014)",
year = 2014,
location = "London, GB",
publisher = "IEEE Computer Society",
ISBN = "978-1-908320-40-7",
doi = "10.1109/ICITST.2014.7038827",
language = "english",
url = "https://www.fit.vut.cz/research/publication/10658"
}