Untuk melakukan deteksi malware ada beberapa teknik yang digunakan yaitu signature based dan anomaly based/heuristic. Selain itu ada pula teknik deteksi specification based. Teknik ini merupakan pengembangan dari teknik deteksi anomaly based. Teknik deteksi anomaly based mendeteksi malware dengan terlebih dahulu membuat profil normal dari sebuah sistem. Kemudian dilakukan monitoring terhadap sistem, bila ditemukan adanya perbedaan dari profil normal maka dicurigai ada malware pada sistem.
Specification based detection
Teknik deteksi specification based juga mendeteksi adanya kejanggalan pada sistem. Perbedaannya adalah pada anomaly based, profil normal sebuah sistem dibuat dengan teknik machine learning. Sementara pada specification based, profil tersebut dibuat secara manual oleh orang. Cara ini dilakukan untuk mengurangi tingkat false alarm yang kerap ditemukan pada deteksi anomaly based.
Teknik Specification based ini oleh Idika dan Mathur dibagi menjadi 3 macam:
- Dynamic specification based,
- Static specification based
- Hybrid specification based
Dynamic Specification based
Pada tulisan ini saya coba bahas tentang beberapa teknik Dynamic specification based, diantaranya adalah:
- Monitoring Security Critical Program: Teknik ini menggunakan Distributed Pro-
gram Execution Monitor (DPEM) untuk mendeteksi trace policy. Trace adalah urutan dari system calls yang dipanggil. Teknik ini dikembangkan oleh Ko dkk - Using Dynamic Information Flow to Protect Applications: Teknik ini melakukan monitoring terhadap information flow menggunakan tools Dynamic Information Flow Analysis (DIFA). Tools ini dikembangkan oleh Masri dkk
- ACT- Attachment Chain Tracing: Teknik ini digunakan untuk mendeteksi penyebaran malware melalui attachment email. ACT dikembangkan oleh Xiong dkk
- Automated Detection of Vulnerabilities in Privilege Programs: Teknik ini melakukan deteksi dengan mengamati audit trail (aktifitas log) dari sebuah sistem operasi. Teknik ini dikembangkan oleh Ko dkk
-
Process Behavior Monitoring
Teknik deteksi ini dilakukan dengan mengawasi system calls pada sebuah sistem menggunakan system calls detection engine. Cara kerjanya menggunakan ASL (Auditing Specification Language) yang dicompile menjadi C++ class. Teknik ini dikembangkan oleh Sekar dkk
- Enlisting Hardware in Malicious Code Injection: Metoda deteksi ini menggunakan hardware-based secure return address stack (SRAS). SRAS dapat mencegah serangan malicious code injection yang memanfaatkan procedure return address corruption. Selain itu juga dapat mendeteksi serangan buffer overflow. Teknik ini dikembangkan oleh Lee dkk
- Mitigating XSS Attacks from the Client-Side: Metoda ini dikembangkan oleh Engin Kirda dkk. Merupakan teknik untuk mendeteksi serangan cross-site scripting (XSS). Teknik ini diimplementasikan dalam aplikasi yang disebut Noxes.
- Dynamic Information Flow Tracking: Dynamic information flow tracking adalah sebuah mekanisme hardeware yang melakukan pengawasan terhadap information flow. Teknik ini dikembangkan oleh Suh dkk
- Using Instruction Block Signatures: Teknik ini menggunakan processor extensions yang hanya mengijinkan eksekusi dari trusted instructions saja. Metoda ini melakukan pengujian pada instruction block signatures pada saat dijalanan. Signatures dibuat dengan multiple input signature register (MISR) dan dienkrip. Metoda ini dikembangkan oleh Milenkovic dk
- Fast Detection of Scanning Worms: Teknik deteksi ini sebenenarnya dikembangkan untuk mendeteksi worm. Cara yang dilakukan menggabungkan dua teknik yaitu: sequential hypothesis testing dan connection rate. Teknik ini dikembangkan oleh Schechter dkk
- Protecting Against Unexpected System Calls: Metode ini menyarankan penambahan bagian baru pada format binay ELF (Executable and Linkable Format). Bagian ini dinamakan IAT (Interrupt Address Table) section. IAT ini isinya nomer system call yang dijalankan dan dipanggil. Sistem akan membandingkan system call yang disimpan pada struktur data process dengan system call yang dijalankan. Teknik ini diajukan oleh Linn dkk.
Semoga Bermanfaat!
Bahan Bacaan
Tentang SRAS
https://www.princeton.edu/~rblee/ELE572Papers/Fall04Readings/lee03enlisting.pdf
Tentang Noxes:
https://www.cs.ucsb.edu/~chris/research/doc/compsec09_noxes.pdf
tentang dynamic information flow tracking:
http://csg.csail.mit.edu/pubs/memos/Memo-467/memo-467.pdf
tentang intrusion block signature
http://www.ece.uah.edu/~milenka/docs/milenkovic_can05.pdf
Paper schechter dkk:
Paper Lynn Tentang system calls
Klik untuk mengakses cse544-syscalls-hassan.pdf
Tentang anomaly based: