Teknik Deteksi Specification Based


Untuk melakukan deteksi malware ada beberapa teknik yang digunakan yaitu signature based dan anomaly based/heuristic. Selain itu ada pula teknik deteksi specification based. Teknik ini merupakan pengembangan dari teknik deteksi anomaly based. Teknik deteksi anomaly based mendeteksi malware dengan terlebih dahulu membuat profil normal dari sebuah sistem. Kemudian dilakukan monitoring terhadap sistem, bila ditemukan adanya perbedaan dari profil normal maka dicurigai ada malware pada sistem.

Specification based detection

Teknik deteksi specification based juga mendeteksi adanya kejanggalan pada sistem. Perbedaannya adalah pada anomaly based, profil normal sebuah sistem dibuat dengan teknik machine learning. Sementara pada specification based, profil tersebut dibuat secara manual oleh orang. Cara ini dilakukan untuk mengurangi tingkat false alarm yang kerap ditemukan pada deteksi anomaly based.

Teknik Specification based ini oleh Idika dan Mathur dibagi menjadi 3 macam:

  • Dynamic specification based,
  • Static specification based
  • Hybrid specification based

Dynamic Specification based

Pada tulisan ini saya coba bahas tentang beberapa teknik Dynamic specification based, diantaranya adalah:

  1. Monitoring Security Critical Program: Teknik ini menggunakan Distributed Pro-
    gram Execution Monitor (DPEM) untuk mendeteksi trace policy. Trace adalah urutan dari system calls yang dipanggil. Teknik ini dikembangkan oleh Ko dkk
  2. Using Dynamic Information Flow to Protect Applications: Teknik ini melakukan monitoring terhadap information flow menggunakan tools Dynamic Information Flow Analysis (DIFA). Tools ini dikembangkan oleh Masri dkk
  3. ACT- Attachment Chain Tracing: Teknik ini digunakan untuk mendeteksi penyebaran malware melalui attachment email. ACT dikembangkan oleh Xiong dkk
  4. Automated Detection of Vulnerabilities in Privilege Programs: Teknik ini melakukan deteksi dengan mengamati audit trail (aktifitas log) dari sebuah sistem operasi. Teknik ini dikembangkan oleh Ko dkk
  5. Process Behavior Monitoring

    Teknik deteksi ini dilakukan dengan mengawasi system calls pada sebuah sistem menggunakan system calls detection engine. Cara kerjanya menggunakan ASL (Auditing Specification Language) yang dicompile menjadi C++ class. Teknik ini dikembangkan oleh Sekar dkk

  6. Enlisting Hardware in Malicious Code Injection: Metoda deteksi ini menggunakan hardware-based secure return address stack (SRAS). SRAS dapat mencegah serangan malicious code injection yang memanfaatkan procedure return address corruption. Selain itu juga dapat mendeteksi serangan buffer overflow. Teknik ini dikembangkan oleh Lee dkk
  7. Mitigating XSS Attacks from the Client-Side: Metoda ini dikembangkan oleh Engin Kirda dkk. Merupakan teknik untuk mendeteksi serangan cross-site scripting (XSS). Teknik ini diimplementasikan dalam aplikasi yang disebut Noxes.
  8. Dynamic Information Flow Tracking: Dynamic information flow tracking adalah sebuah mekanisme hardeware yang melakukan pengawasan terhadap information flow. Teknik ini dikembangkan oleh Suh dkk
  9. Using Instruction Block Signatures: Teknik ini menggunakan processor extensions yang hanya mengijinkan eksekusi dari trusted instructions saja. Metoda ini melakukan pengujian pada instruction block signatures pada saat dijalanan. Signatures dibuat dengan multiple input signature register (MISR) dan dienkrip. Metoda ini dikembangkan oleh Milenkovic dk
  10. Fast Detection of Scanning Worms: Teknik deteksi ini sebenenarnya dikembangkan untuk mendeteksi worm. Cara yang dilakukan menggabungkan dua teknik yaitu: sequential hypothesis testing dan connection rate. Teknik ini dikembangkan oleh Schechter dkk
  11. Protecting Against Unexpected System Calls: Metode ini menyarankan penambahan bagian baru pada format binay ELF (Executable and Linkable Format). Bagian ini dinamakan IAT (Interrupt Address Table) section. IAT ini isinya nomer system call yang dijalankan dan dipanggil. Sistem akan membandingkan system call yang disimpan pada struktur data process dengan system call yang dijalankan. Teknik ini diajukan oleh Linn dkk.

Semoga Bermanfaat!

Bahan Bacaan

Tentang SRAS

https://www.princeton.edu/~rblee/ELE572Papers/Fall04Readings/lee03enlisting.pdf

Tentang Noxes:

https://www.cs.ucsb.edu/~chris/research/doc/compsec09_noxes.pdf

tentang dynamic information flow tracking:

http://csg.csail.mit.edu/pubs/memos/Memo-467/memo-467.pdf

tentang intrusion block signature

http://www.ece.uah.edu/~milenka/docs/milenkovic_can05.pdf

Paper schechter dkk:

https://people.csail.mit.edu/awberger/papers/fastDetectionOfScanningWormInfections_JungSchechterBerger_2004.pdf

Paper Lynn Tentang system calls

Klik untuk mengakses cse544-syscalls-hassan.pdf

Tentang anomaly based:

Anomaly based Malware Detection

Beberapa Teknik Pendeteksi Malware


Silahkan tuliskan tanggapan, kritik maupun saran