Nieuwe IDS merkt afwijkend gedrag op
Een team van onderzoekers van Binghamton University heeft een nieuw intrusion detection systeem ontwikkeld dat werkt op basis van toezicht op het gedrag van systemen en het opmerken wanneer dit verschilt van “normaal” gedrag.
Het project met de naam “Intrusion Detection Systems: Object Access Graphs” werd gefinancierd door het “Air Force Office of Scientific Research” en werd uitgevoerd door promovendi Patricia Moat en Zachary Birnbaum en wetenschappelijk onderzoeker Andrey Dolgikh. Ze werden begeleid door Victor Skormin, hoogleraar “electrical and computer engineering”.
Gedrag
De onderzoekers hebben ervoor gekozen zich te concentreren op het gedrag van het systeem in plaats van het opsporen van malware. Deze keuze is gemaakt omdat malware sneller kan veranderen dan er nieuwe definities voor gemaakt kunnen worden.
"Wij nemen een foto van je computer, waarna we deze vergelijken met een foto van een computer die zich normaal gedraagt en een foto van een geïnfecteerde computer. Vervolgens kijken we naar de verschillen", aldus Birnbaum. "Aan de hand van de verschillen kunnen we zien of de computer geïnfecteerd is en om wat voor infectie het gaat. Zodra je weet dat je geïnfecteerd bent kun je actie ondernemen."“System calls die onder normale omstandigheden worden gemaakt, worden geconverteerd naar “graph components” die weer worden gebruikt als uitgangspunt van het profiel van een computer in normale toestand" zo leggen de onderzoekers uit.
"Onze resultaten tonen aan dat een efficiënte detectie van abnormaal gedrag mogelijk is door een slimme toepassing van “graph processing” algoritmes op het maken van systeemgedrag profielen.”
De PDF met de details over het project kun je hier vinden.
Het is nog vroeg!
beter dan een blacklist methode, bij input validatie doe je volgens mij ook liever whitelisting dan blacklisting.
De kans dat er zaken doorheen glippen is velen malen kleiner.
En wat is hier nieuw aan? In de Comodo Firewall zit sinds versie 6 (We zitten nu op v7.xx) o.a. een "Behavior Blocker" met een "Viruscope" optie: "...subsystem which dynamically analyzes the behavior of running processes..."
Nog een tip voor mensen die net zoals ikzelf versie 6 hebben overgeslagen. Alle knoppen uit versie 5.xx zijn gelukkig weer aanwezig (was al zo in een latere versie van v6.xx) in de "advanced view".
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.