Система блокирования вредоносного ПО в Linux

Анонсирован интересный исследовательский проект Korset, в рамках которого создается система, работающая на уровне Linux ядра и производящая мониторинг выполнения приложений в системе. В случае обнаружения аномалий, несвойственных определенной программе, приложение блокируется не дожидаясь факта совершения злонамеренных действий. Korset состоит из двух базовых модулей:
— Автоматический статический анализатор, строящий CFG правила на этапе сборки приложения.
— Агент, работающий на уровне ядра и проверяющий следование заданным правилам.

Для каждого приложения, на основе статического анализа исходных текстов или бинарного кода строится граф управляющих потоков (Control Flow Graph — CFG), который в дальнейшем используется системой мониторинга, проверяющей валидность выполняемых приложением системных вызовов, с учетом порядка из следования. Испытания системы продемонстрировали полное отсутствие ложных срабатываний. Подробности работы алгоритмов заложенных в Korset можна найти в презентации «Korset: Automated, Zero False-Alarm Intrusion Detection for Linux».

Источник: Uinc