Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Monitorowanie obciążenia systemu jako metoda detekcji intruzów

Jestem hardkorem, trzeci artykuł w trzy dni!

W nawiązaniu do poprzedniego artykułu

Dwa dni temu pisałem o monitorach behawioralnych (Mamutu, Threat Fire), które przez analizę dzałań (tworzenie i modyfikowanie plików, wpisów rejestru etc.) są w stanie wykryć potencjalnego intruza. Dzisiaj pokażę że możliwe jest wykrycie ataku przez monitorowanie zużycia zasobów systemowych, jak RAM, liczba wątków, obciążenie CPU.
Brzmi smakowicie? Zapraszam!

DSA - Dynamic Security Agent
DSA został opracowany przez amerykańską firmę Privacyware. Program to trochę mutant klasycznego monitora HIPS i monitora behawioralnego, ale i tak to bardzo sympatyczna aplikacja.

r   e   k   l   a   m   a

Jak już wspomniałem, w skład DSA wchodzi klasyczny HIPS i monitor behawioralny, czyli tzw. System Anomaly Detection (jest także Email Anomaly Detection, ale nim podobnie jak modułem HIPS zajmować się nie będziemy).

Czym jest System Anomaly Detection?

System wykrywania anomalii systemu to mechanim monitorowania zachowań aplikacji w systemie, a dokładnie obserwowania zużycia zasobów komputera przez uruchomione programy. Monitorowane są takie elementy jak zużycie CPU, RAM czy liczba wątków aplikacji. Użytkownik może wybrać przez ile dni DSA ma być "trenowany", potem na podstawie statystyk program może podjąć alarm.

Przykład:
Jeżeli proces X.exe pobiera średnio 7% CPU, a mamy ustaloną tolerancję 50%, to DSA podniesie alarm tylko w przypadku zwiększenia obciążenia procesora o ponad 10,5% (50% z 7% to 3,5%, zatem tolerancja wynosi do 10,5%).
Dlatego ważne jest przeprowadzenie dokładnego treningu DSA by maksymalnie zwiększyć tolerancję na anomalie związane ze zwiększonym zużyciem zasobów.

Ciekawe, prawda? W świecie doskonale zorganizowanej cyberprzestępczości każdy oręż się przydaje. Dla cyberprzestępców liczą się wszystkie chwyty (nawet te poniżej pasa), ich wyobraźnia i zdolności są praktycznie nieograniczone, więc trzeba opracowywać nowe mechanizmy obrony.

Ciekawostka: DSA potrafi wykryć zmianę w pliku wykonywalnym aplikacji, co też może oznaczać obecność intruza w systemie. Zwyczajnie sprawdzana jest suma kontrolna pliku :).

SONAR 3 firmy Symantec

SONAR to akronim słów Symantec Online Network for Advanced Response. To przede wszystkim system behawioralnej analizy aplikacji w systemie. Przez wielu użytkowników krytykowany, dla mnie to kolejne doskonałe narzędzie w walce z najnowszymi zagrożeniami. Produkty Norton 2010 zawierają system SONAR 2, natomiast Norton 2011 już system SONAR 3, który wyposażono właśnie w mechanizm monitorowania zużycia zasobów.

Szkoda że SONAR 3 monitoruje tylko zużycie CPU i pamięci RAM, ale za to dostajemy pokaźne statystyki o obciążeniu komputera przez cały okres pracy. Nie mniej mamy szansę wykrycia podejrzanej aplikacji.

Wykrycie anomalii:

Statystyki:

Alarm wydajności SONAR 3:

Dziękuję za uwagę :) 

Komentarze