静的解析に基づく侵入検知システムの最適化 Optimization of Intrusion Detection System Based on Static Analyses

この論文にアクセスする

この論文をさがす

著者

抄録

プログラムの脆弱性を悪用してプログラムがたどる制御フローをプログラマの意図に反するものに変え,プログラムに異常な動作をさせる攻撃が深刻な問題となっている.我々はその攻撃による被害を防ぐ手段として,プログラムがたどる制御フローの異常を検知する侵入検知システムを開発した.そのシステムは,プログラムがたどる制御フローがバイナリコードが規定する制御フローの規則に従っていることを検査しながらプログラムを実行する.検査はシステムコール呼び出し時のスタックを調べることによって行われる.スタック内の制御情報の移り変わりが,バイナリコードが規定する制御フローの規則に従っていないとき,異常が発生したと判断する.我々のシステムはスタックの情報を利用するので,システムコールの情報だけを利用する既存の手法よりも制御の場所を高い精度で把握できる.それはオーバヘッドの縮小と検出精度の向上をもたらす.加えて,我々のシステムは,以前に検査を実行したときに得られた情報を蓄積することで,検査時のオーバヘッドを削減する.我々は実験で異常検知を行うことによるオーバヘッドを測定した.Attacks on programs by exploiting its vulnerability become well-known and severe problem today. These attacks manipulate behavior of vulnerable programs. We have implemented an intrusion detection system that detects the anomaly behavior of programs. The system ensures that the behavior of a program never stray from the control flow extracted from its binary code. Our system utilizes call stack information to detect anomaly behavior. Call stack information is useful to determine current execution state, and therefore our system can achieve higher precision and lower overhead as contrasted with other intrusion detection systems. Furthermore, our system utilizes search history of transition paths of control flow. This technique reduces the overhead further. We show the results of measurement of the overhead.

収録刊行物

  • 情報処理学会論文誌コンピューティングシステム(ACS)  

    情報処理学会論文誌コンピューティングシステム(ACS) 45(SIG03(ACS5)), 11-20, 2004-03-15 

    情報処理学会

参考文献:  29件

被引用文献:  14件

各種コード

  • NII論文ID(NAID)
    10012691397
  • NII書誌ID(NCID)
    AA11833852
  • 本文言語コード
    JPN
  • 資料種別
    Article
  • ISSN
    1882-7829
  • NDL 記事登録ID
    6901836
  • NDL 請求記号
    Z74-C192
  • データ提供元
    CJP書誌  CJP引用  NDL  IPSJ 
ページトップへ