Sosial beskyttelse og tillegg av systeminfeksjonsklasse

Introduksjon

Dette dokumentet tar opp tillegg til metadatainformasjon om signaturer som er lagt til i 14.0.0-versjonen.

Krav

Kravene bak denne funksjonen er:

  • Muligheten til å vise brukeren forskjellig informasjon i tilfelle angrep som er knyttet til sosiale nettverk.

  • Muligheten til å kjøre verktøy som NPE (eller foreslå å gjøre dette) på et system som utløser signaturer som etter et angrep.

    dvs. Utføre et "Aggressiv Modus"-søk av systemet.

Design

Begge kravene som er nevnt over vil bli implementert ved at følgende endringer utføres:

Metadata XML (su-cr.md file)

Legge til mer informasjon i metadata til en signatur slik at det reflekterer om det er en sosial beskyttelse basert signatur, eller en signatur etter et angrep. Disse vil bli lagt til i form av to nye noder som barn av <Event>-noden.

Nå inneholder metadata xml-filen noen få noder som kan brukes til å angi denne samme informasjonen.

F.eks. inneholder <Category>-noden eller bruken av eksisterende signaturegenskapers bitmaske denne informasjonen. Men når det gjelder kategori, er de allerede tatt i bruk på en måte der mer enn èn <Category>-node kan settes for et problem/hendelse.

Denne designen ville ikke virke for ett enkelt tilfelle, bare noder som <Class> og <SubClass>. Bitmaske-flagg brukes for å angi avsetning av en signatur når den utløses, og derfor ble det besluttet at den ikke skulle brukes til dette.

På grunn av alt dette ble det besluttet å lage et helt nytt sett Noder.

Disse nye nodene er <Class> og <SubClass>. Signaturens <Class> vil inneholde informasjon hvis signaturen er et "Sosialt nettverk-angrep" eller "System Infisert". Signaturens <SubClass> vil inneholde ytterligere klassifisering av en enkelt klasse. F.eks. "Sosial beskyttelse-angrep" kan ha flere underordnede klasser, som "Like Jacking", osv.

De virkelige nodene i su-cr.md <Event>-noden vile se ut som dette:

<Event><Modified>2011082301</Modified><UniqueID>24014</UniqueID><State>A</State><TYPE>ACTOR_HEURISTIC</TYPE><SUB_TYPE>CONFIRMED_MALICIOUS_ACTIVITY</SUB_TYPE><SUBMIT>TRUE</SUBMIT><MANUALREMEDIATION>FALSE</MANUALREMEDIATION><EVENTRESPONSE>BLOCK</EVENTRESPONSE>......<Class Id="3">SocialNetworkAttack</Class><SubClass Id="1">LikeJacking</SubClass>......</Event>

Nodene vil få navnene <Class> og <SubClass>, hver node vil inneholde ID-attributtet og Navnet.

Bare ID-verdien vil bli lagret i metadata.dat-filen, navn-verdien overses, den er en del av xml-en av lesbarhetsmessige årsaker.

Det kan bare være ett tilfelle av disse nodene per <Event>-node.

Begge nodene er valgfrie, dvs. de kan presenteres for noen hendelser og ikke for andre.

Noden <SubClass> kan bare være til stede dersom en <Class>-node er til stede.

Endringer ved arbeidsflyt

Arbeidsflyten vil kreve at det gis et brukergrensesnitt for å angi Class og SubClass for hver signatur. Dette kan være en nedtrekksliste med forhåndsinnfylte verdier som også er redigerbar. Hver klasse og underordnet klasse vil representeres med en numerisk ID som ikke er null. En ID-verdi på 0 er reservert til å representere "Ikke satt". dvs. Class eller SubClass er ikke satt for en signatur. Se i delen Verdier for å få gyldig Class og SubClass og de respektive ID-ene som de er i dag. OP-er forventes å sette verdier for Class og SubClass for alle signaturene som hører til Class "Sosial beskyttelse" og "System infisert". Andre signaturer kan være som de er, for nå. Det forventes også at OP-er utvider disse listene for Class og SubClass som det passer for dem. ID-ene for den gjeldende listen må ikke endres, fordi disse vil utsettes for produktene, og kan ikke bli endret. Vær også oppmerksom på at su-cr.md-fil vil kreve at den inneholder ID som et attributt for nodene <Class> og <SubClass>.

Signatur-info

Signaturinformasjonen vil inneholde to egenskaper til, nemlig PROPERTY_CLASSIDCLASSID og PROPERTY_SUBCLASSID. Disse vil være tilgjengelige for å spørres etter via grensesnittet SignatureInfo, nemlig "IIDSSignatureInfo".

Metoden IIDSSignatureInfo::GetProperty() kan brukes som følger for å få disse to DWORD.

DWORD dwClassID = 0;DWORD dwSubClassID = 0;dwResult = poIDSSignatureInfo->GetProperty (PROPERTY_CLASSID, dwClassID);if (SYM_FAILED (dwResult)){ return;}dwResult = poIDSSignatureInfo->GetProperty (PROPERTY_SUBCLASSID, dwSubClassID);if (SYM_FAILED (dwResult)){ return;}

Se i filen IIDSSignatureInfo.h for mer informasjon.

Eksempelet på kode, vist ovenfor, er bare en metode for å få disse verdiene. Produktet skulle allerede ha kode for å ekstrahere ting fra objektet signaturinformasjon.

Bruk av samme logikk, men med verdier for PROPERTY_CLASSID and PROPERTY_SUBCLASSID skal være tistrekkelig.

Hendelse

Hendelsesvarsel som sendes til produktet vil oppdateres til å inneholde følgende 3 felter:

SigClassID Produktet vil få tilgang til denne verdien og beslutte om det skal gjøres noe hvis det er en Sosial beskyttelse eller Infisert system. En ID-verdi på 0 betyr i virkeligheten at verdien ikke er stilt. Enkel kode for å fange opp verdien fra et varsel:

DWORD dwClassID = 0; if((pData->GetValue(<Event_Key>, dwClassID))) { // Do Something with the ClassID. }

Der pData er cc::IKeyValueCollectionConstPtr og <Event_Key> kan være en hvilken som helst av følgende verdier:

  • IDS_EV_ALERT_DETECTED_ATTACKER_IS_LOCAL_SigClassID

  • IDS_EV_ALERT_DETECTED_ATTACKER_IS_LOCAL_NO_PORT_SigClassID

  • IDS_EV_ALERT_DETECTED_ATTACKER_IS_REMOTE_SigClassID

  • IDS_EV_ALERT_DETECTED_ATTACKER_IS_REMOTE_NO_PORT_SigClassID

Se IDSEvents.h for mer info.

Noen av verdiene til ClassID er #definert i filen IIDSSignatureInfo.h. Disse verdiene er:

#define SIG_CLASS_NOT_SET 0#define SIG_CLASS_SOCIAL_PROTECTION 3 // The product is expected to show a different UI (URL) when this class of signaure event is passed to it.#define SIG_CLASS_SYSTEM_INFECTED 4 // The product is expected to execute NPE when this class of signature event is passed to it.#define SIG_SUBCLASS_NOT_SET 0

Produktet skal sammenlignes med SIG_CLASS_SOCIAL_PROTECTION and SIG_CLASS_SYSTEM_INFECTED.

Takk!

Takk for at du bruker Norton-støtte.

< Tilbake

Hjalp denne informasjonen?

DOCID: v97291096_retail_no_no
Sist endret: 16/06/2014