Mitarbeiter der Universität Tel Aviv haben den Prototyp eines neuen Host-based Intrusion Detection Systems (HIDS) für Linux vorgestellt. Es heißt Korset, verwendet statische Code-Analyse und verspricht null Fehlalarme.
HIDS vergleichen ihre Beobachtungen mit einem Modellverhalten von Programmen. Weicht das Verhalten ab, schlagen die Systeme Alarm. Die verwendeten Modelle beruhen bisher entweder auf statistischen Daten aus Trainingssitzungen oder auf Policies, die von einem Entwickler konstruiert wurden. Nach Ansicht von Professor Avishai Wool und dem Kernel-Enwtickler Ohad Ben-Cohen ist die erste Methode anfällig für False Positives, die zweite enorm aufwändig.
Wool und Ben-Cohen dagegen gewinnen das Verhaltensmodell automatisiert durch statische Code-Analyse. Aus der Untersuchung von Quelltext und Object Files erzeugt ihre Software einen Control Flow Graph (CFG). Da die meisten Angriffe mit System Calls einhergehen, beschränken sich die CFGs auf diese Aufrufe und dokumentieren die legitimen Muster für jede Anwendung. Weicht ein Programm von seinem Muster ab, beendet der Kernel diesen Prozess.
Korset verwendet Control Flow Graphs, die es durch statische Analyse aus dem Quellcode gewinnt.
Korset besteht aus zwei Teilen: Dem Analyzer im Userspace und einem Agenten im Kernel. Der Analyzer wird in den Build-Vorgang der Programme einbezogen und erzeugt für jedes Executable, jede Objekt-Datei und jede Bibliothek einen CFG. Der Korset-Monitoring Agent ist in den Kernel eingebaut. Wird ein überwachtes Programm ausgeführt, beobachtet der Agent die abgesetzten Systemaufrufe und vergleicht sie mit denen des CFG-Modells.
Ein Beitrag von Wool und Ben-Cohen zum Ottawa Linux Symposium 2008 (PDF) erläutert weitere Details, ebenso die Vortragsfolien von der Tagung Black Hat US 2008.
Ein Korset-Prototyp steht unter den Bedingungen der GPLv3 zum Download bereit. Die Macher bezeichnen diese Implementierung als Prä-Alpha-Software, die nicht für die Anwendung bestimmt ist, sondern als Proof-of-Concept dient.
Obwohl in den letzten Jahren viele technische Fortschritte erzielt werden konnten, verfügen die meisten Datenintegrationsprozesse nach wie vor nur über eine sehr begrenzte Automatisierung. Das vorliegende White Paper von dem Industry Analyst Mark Madson wird zunächst ein grundlegendes Verständnis von Daten Integration vermitteln, die Vorzüge von Open Source Lösungen für Daten Integration erläutern und Ihnen professionelle Empfehlungen geben, damit Sie Ihre Integrationsjobs noch einfacher und produktiver gestalten können.
Open Source Datenintegration in der Praxis: Fallstudien und Anwendungsbeispiele (Folge 2)
Der zweite Teil des Open Source Datenintegration in der Praxis: Fallstudien und Anwendungsbeispiele White Papers beleuchtet anhand weiterer ausgewählter Case Studies die Implementierung von Open Source Datenintegration in der Praxis und benennt die daraus resultierenden Vorteile.
