Generace signatur chování použitím shadow honeypotu

Barabas Maroš, Drozd Michal, Hanáček Petr,

Klíčové slova

signatury chování, metriky, síť, bezpečnostní dizajn

Anotace

V naší práci se zaměříme na prezentaci nové metody na detekci zero-day buffer overflow zranitelností. Tato metoda je založená na generování signatur chování ze síťového provozu. Zmínime detekční model, který za použití honeypot systémů vytváří detekční profily. V této práci dále ukážeme 112 metrik, které budou použité na charakterizaci malware v síťovém provozu a ukážeme použití této metody na dvou příkladech: využití buffer overflow zranitelnosti v FTP serveru a použití známeho červu Conficker.