Анонсирован интересный исследовательский проект Korset, в рамках которого создается система, работающая на уровне Linux ядра и производящая мониторинг выполнения приложений в системе, cообщает opennet.ru. В случае обнаружения аномалий, несвойственных определенной программе, приложение блокируется не дожидаясь факта совершения злонамеренных действий. Korset состоит из двух базовых модулей:
- Автоматический статический анализатор, строящий CFG правила на этапе сборки приложения.
- Агент, работающий на уровне ядра и проверяющий следование заданным правилам.
Для каждого приложения, на основе статического анализа исходных текстов или бинарного кода строится граф управляющих потоков (Control Flow Graph - CFG), который в дальнейшем используется системой мониторинга, проверяющей валидность выполняемых приложением системных вызовов, с учетом порядка из следования. Испытания системы продемонстрировали полное отсутствие ложных срабатываний. Подробности работы алгоритмов заложенных в Korset можна найти в презентации "Korset: Automated, Zero False-Alarm Intrusion Detection for Linux".
Презентация в формате PDF