ID basato su host con monitoraggio syscall

Question

ID basato su host con monitoraggio syscall

#1 da (0 voti)

-1

Hey Guys Sono un principiante in materia di sicurezza e ora sto lavorando al mio progetto finale su IDS basato su host. Ho alcune domande per voi ragazzi

Un rootkit può essere classificato come un'intrusione o è un malware o entrambi? Qual è la differenza tra intrusione e malware?
È possibile che una sequenza di systemcall determini l'esistenza di un'intrusione nel sistema? Oppure la sequenza syscall non valida è in grado di rilevare il malware.
Se mi piacerebbe monitorare syscall, posso farlo nello spazio utente, ad esempio usando systrace o può essere fatto solo nello spazio del kernel? Qual è il metodo migliore possibile?

kernel rootkits intrusion hids

posta Ramandika Pranamulia 05.01.2016 - 11:50

fonte

1 risposta

Leggi altre domande sui tag kernel rootkits intrusion hids

attacco o vulnerabilità di sql injection? Dove posso trovare l'elenco delle vulnerabilità delle applicazioni Web e dei tipi di attacco? [chiuso] ROP: utilizza il valore di ritorno della funzione

score 0 · Answer 1

Can a rootkit be classified as an intrusion or is it a malware or both of them ? What's the difference between intrusion and malware then?

Un malware di per sé non è un'intrusione. Ma se il malware ha infettato il sistema, allora hai un'intrusione. Ma possono esserci intrusioni senza malware, ad esempio l'accesso con credenziali rubate. E un rootkit è solo un tipo speciale di malware.

Can a systemcall sequence determine that there is an intrusion in the system? Or invalid syscall sequence only can detect malware.

Di solito non determinano completamente, ma suggeriscono solo. Se la sequenza sembra simile a malware noto o se si accede a file specifici, se il registro viene modificato ... questi potrebbero essere tutti indicatori di potenziali malware. Ma potrebbe anche essere un software non dannoso.

I would like to monitor syscall, Can I do it at the userspace for example using systrace or it only can be done in kernel space ? What's the best method possible?

In Linux puoi usare il comando srall per tracciare altri processi di tua proprietà (e solo questi). Oppure usa il comando strace o un comando simile in altri UNIX come truss o ktrace.