Horus: un marco efectivo y confiable para la detección de exploits de reutilización de código en flujos de datos
Autores: Yang, Gang; Liu, Xingtong; Tang, Chaojing
Idioma: Inglés
Editor: MDPI
Año: 2022
Acceso abierto
Artículo científico
2022
Horus: un marco efectivo y confiable para la detección de exploits de reutilización de código en flujos de datos
Categoría
Ingeniería y Tecnología
Subcategoría
Ingeniería Eléctrica y Electrónica
Palabras clave
Ataques de reutilización de código
Exploits
Horus
Detección
Marco
Aumento de datos
Licencia
CC BY-SA – Atribución – Compartir Igual
Consultas: 26
Citaciones: Sin citaciones
En los últimos años se ha observado un rápido crecimiento de los ataques de reutilización de código en amenazas persistentes avanzadas y delitos cibernéticos. Los exploits de reutilización de código cuidadosamente elaborados evitan los mecanismos de protección modernos y secuestran el flujo de ejecución de un programa para realizar funcionalidades esperadas mediante la concatenación de códigos existentes. La sofisticación y complejidad de los exploits de reutilización de código dificultan su escrutinio y disección. Aunque la literatura previa ha introducido algunos enfoques viables, la efectividad y fiabilidad en aplicaciones prácticas siguen siendo desafíos graves. Para abordar este problema, proponemos Horus, un marco basado en datos para la detección efectiva y confiable de exploits de reutilización de código. Con el fin de aumentar la efectividad contra ruidos subyacentes, aprovechamos de manera integral las fortalezas del análisis de series temporales y de dominio de frecuencia, y proponemos un detector basado en aprendizaje que sintetiza las características contemporáneas duales. Luego empleamos un intérprete ligero para traducir especulativa y tentativamente los bytes sospechosos para abrir la caja negra y mejorar la fiabilidad y la interpretabilidad. Además, se adopta una ampliación de datos que preserva la funcionalidad para aumentar la diversidad de los datos de entrenamiento limitados y elevar la generalidad para la implementación en el mundo real. Se realizan experimentos comparativos y estudios de ablación en un conjunto de datos compuesto por instancias del mundo real para verificar y demostrar la prevalencia de Horus. Los resultados experimentales muestran que Horus supera a los métodos existentes en la identificación de exploits de reutilización de código en flujos de datos con una sobrecarga aceptable. Horus no depende de ejecuciones dinámicas y puede integrarse fácilmente en sistemas de defensa existentes. Además, Horus es capaz de proporcionar interpretaciones tentativas sobre la semántica de los ataques independientemente del programa objetivo, lo que mejora aún más la efectividad y la fiabilidad del sistema.
Descripción
En los últimos años se ha observado un rápido crecimiento de los ataques de reutilización de código en amenazas persistentes avanzadas y delitos cibernéticos. Los exploits de reutilización de código cuidadosamente elaborados evitan los mecanismos de protección modernos y secuestran el flujo de ejecución de un programa para realizar funcionalidades esperadas mediante la concatenación de códigos existentes. La sofisticación y complejidad de los exploits de reutilización de código dificultan su escrutinio y disección. Aunque la literatura previa ha introducido algunos enfoques viables, la efectividad y fiabilidad en aplicaciones prácticas siguen siendo desafíos graves. Para abordar este problema, proponemos Horus, un marco basado en datos para la detección efectiva y confiable de exploits de reutilización de código. Con el fin de aumentar la efectividad contra ruidos subyacentes, aprovechamos de manera integral las fortalezas del análisis de series temporales y de dominio de frecuencia, y proponemos un detector basado en aprendizaje que sintetiza las características contemporáneas duales. Luego empleamos un intérprete ligero para traducir especulativa y tentativamente los bytes sospechosos para abrir la caja negra y mejorar la fiabilidad y la interpretabilidad. Además, se adopta una ampliación de datos que preserva la funcionalidad para aumentar la diversidad de los datos de entrenamiento limitados y elevar la generalidad para la implementación en el mundo real. Se realizan experimentos comparativos y estudios de ablación en un conjunto de datos compuesto por instancias del mundo real para verificar y demostrar la prevalencia de Horus. Los resultados experimentales muestran que Horus supera a los métodos existentes en la identificación de exploits de reutilización de código en flujos de datos con una sobrecarga aceptable. Horus no depende de ejecuciones dinámicas y puede integrarse fácilmente en sistemas de defensa existentes. Además, Horus es capaz de proporcionar interpretaciones tentativas sobre la semántica de los ataques independientemente del programa objetivo, lo que mejora aún más la efectividad y la fiabilidad del sistema.