Saya akan coba lanjutkan pembahasan tentang teknik deteksi malware. Kali ini masih tentang teknik deteksi Hybrid specification. Ada 6 macam teknik deteksi yang oleh Idika dan Mathur dimasukan dalam kategori Hybrid Specification, yaitu:
- DOME
- Intrusion Detection via Static Analysis
- Detecting Manipulated Remote Call Streams
- Preventing SQL Injection Attacks
- SPiKE
- Stackguard
3 teknik pertama telah saya bahas pada tulisan sebelumnya, sekarang saya lanjutkan dengan teknik deteksi berikutnya.
Preventing SQL Injection Attack
Teknik deteksi ini sebenarnya digunakan untuk mendeteksi serangan SQL Injection. Teknik ini diimplementasikan dalam sebuah tools yang dinamakan AMNESIA (Analysis and Monitoring for Neutralizing SQL-Injection Attacks). Teknik ini menggunakan static analysis dan runtime monitoring. Hasil static analysis adalah sebuah non-deterministic finite automaton (NDFA). Teknik ini dikembangkan oleh Halfond dan Orso.
StackGuard
Teknik ini digunakan untuk mencegah serangan Buffer overflow, khususnya tipe serangan Stack Smashing. Caranya adalah program yang memiliki celah keamanan buffer overflow, dikompile ulang dengan Stackguard. Stackguard tidak merubah source code dari program yang akan dikompile ulang. Teknik ini diperkenalkan oleh Cowan dkk. Stackguard adalah compiler extension dari GCC.
SPiKE
Spike adalah sebuah framework yang untuk melakukan monitoring terhadap behaviour dari sebuah aplikasi. Monitoring yang dilakukan adalah terhadap system calls yang digunakan oleh aplikasi tersebut. Teknik deteksi ini dikembangkan oleh Vasudevan dan Yerraballi.
Dengan demikian pembahasan tentang teknik deteksi hybrid specification ini telah lengkap. Pembahasan berikutnya adalah signature based detection, insyallah pada tulisan berikutnya.
Semoga Bermanfaat!
Bahan Bacaan
paper tentang Amnesia
http://www.cc.gatech.edu/~orso/papers/halfond.orso.ICSEDEMO06.pdf
tentang stackguard
https://www.usenix.org/legacy/publications/library/proceedings/sec98/full_papers/cowan/cowan.pdf
tentang Spike
https://pdfs.semanticscholar.org/c0a2/3106ffded7ae3dae9bcf7cb6f757eee8dd33.pdf