Detail publikace
Characteristics of Buffer Overflow Attacks Tunneled in HTTP Traffic
Ovšonka Daniel, Ing. (UITS FIT VUT)
Koranda Karel, Ing. (UITS FIT VUT)
Hanáček Petr, doc. Dr. Ing. (UITS FIT VUT)
Účelem článku je popsat vlastnosti obfuskovaných síťových buffer overflow útoků v kontrastu s vlastnostmi přímo simulovaných útoků. Obfuskace byla provedena tunelováním škodlivého provozu v protokolech HTTP a HTTPS. Tyto protokoly obalují škodlivou komunikaci mezi útočníkem nacházejícím se mimo intranetu a callback modulem umístěném uvnitř intranetu. Detekční analýza, kterou provádíme, je založena na extrakci rysů z dumpů síťových paketů a využívá behaviorální a statistickou analýzu průběhu komunikací v časové a indexové doméně. Byly provedeny experimenty ve čtyřech scénářích realizujících traffic shaping, traffic policing a přenos na nespolehlivém síťovém kanálů tak, aby vlastnosti přímých útoků a obfuskovaných útoků byly co nejvíce rozmanité. V další části tohoto článku je popsané srovnání klasifikace obfuskovaných a přímých útoků s využitím našich dříve navržených ASNM síťových metrik a též state-of-the-art sadou diskriminátorů A. Moore, které představují statisticky a behaviorálne založené experimentální akademické metody pro NBA. Prezentované výsledky vykazují lepší úspěšnost klasifikace ASNM metrik v případě všech druhů experimentů.
@INPROCEEDINGS{FITPUB10600, author = "Ivan Homoliak and Daniel Ov\v{s}onka and Karel Koranda and Petr Han\'{a}\v{c}ek", title = "Characteristics of Buffer Overflow Attacks Tunneled in HTTP Traffic", pages = "188--193", booktitle = "International Carnahan Conference on Security Technology", series = "48th Annual International Carnahan Conference on Security Technology", year = 2014, location = "\v{R}\'{i}m, IT", publisher = "IEEE Computer Society", ISBN = "978-1-4799-3531-4", doi = "10.13140/2.1.4945.1527", language = "english", url = "https://www.fit.vut.cz/research/publication/10600" }