Original title:
Automatický generátor politiky systémového volání
Translated title:
Automatic Seccomp Syscall Policy Generator
Authors:
Tamaškovič, Marek ; Smrčka, Aleš (referee) ; Turoňová, Lenka (advisor) Document type: Bachelor's theses
Year:
2018
Language:
eng Publisher:
Vysoké učení technické v Brně. Fakulta informačních technologií Abstract:
[eng][cze]
Táto práca sa zaoberá návrhom a implementáciou nástroju na preklad zoznamu systémových volaní do politiky obmedzujúcej systémové volania v rámci operačného systému GNU Linux. Motivácia pre takýto nástoj je automatizovať tvorbu bezpečnostných politík. V práci je riešený spôsob interpretovania zoznamu systémových volaní v programe. Taktiež spôsob ako optimalizovať a minimalizovať danú dátovú štruktúru. Na to boli použité tri algoritmy. V jednom prípade bol použitý algoritmus minimax a v tom druhom bol použitý zhlukujúci algoritmus DBSCAN. V poslednej časti tejto práce je riešená metodika testovania nástroja a to testovanie modulov či programu ako celku. Počas testovania sa vyskytli komplikácie, ktoré bránili v komplexnom testovaní vytvoreného nástroja.
This thesis deals with design and implementation of the tool which transforms a system call log into a policy that limits the system call usage in operating system GNU Linux. The motivation raised as a need for automatic creation such policies. In this thesis, we dealt with the intermediate data structure that represents the system call log. We dealt with simplification of the data structure on which were used optimization algorithms. The first implemented algorithm was minimax and the other was clustering algorithm DBSCAN. In the last part of the thesis, the testing methods are described. We tested the particular modules and the whole tool as a unit. During the testing, issues that prevent from complex testing, arised.
Keywords:
american fuzzy lop; C++; catch2; fuzzying; generátor politík; libseccomp; obmedzenie spustiteľných súborov; optimalizátor; seccomp; strace; systémové volania; zhlukovanie; american fuzzy lop; C++; catch2; clustering; executable binaries limitations; fuzzying; libseccomp; optimizer; policy generator; seccomp; strace; system calls
Institution: Brno University of Technology
(web)
Document availability information: Fulltext is available in the Brno University of Technology Digital Library. Original record: http://hdl.handle.net/11012/85208