サンドボックスシステムにおける投機的な安全性検査 Speculative Security Checks in Sandboxing Systems

この論文にアクセスする

この論文をさがす

著者

抄録

サンドボックスシステムは信頼できないアプリケーションを安全に実行する用途において有用である.現在提案されているいくつかのサンドボックスシステムは,アプリケーションが発行するシステムコールを捕捉し,安全性が保証されるようにシステムコールの実行を制御するというものである.既存のシステムの一つの問題は,システムコール捕捉後の安全性検査によって課されるオーバヘッドである.本論文では,安全性検査を投機的に実行するサンドボックスシステムを提案し,その設計と実装について述べる.提案システムは,将来行われるアプリケーションの動作を予測し,マルチプロセッサを利用して投機的な安全性検査をアプリケーションと並列に実行する.それにより安全性検査のオーバーヘッドを削減する.将来の動作は,過去の実行におけるシステムコールのプロファイルを利用して予測する.我々は提案するシステムをLinux上に実装し,予備評価を行った.Sandboxing systems are useful for secure execution of untrusted applications. Some sandboxing systems proposed so far assure security by intercepting system calls invoked by an application and controling their execution. A problem in existing systems is the overhead of security checks performed after system call interceptions. In this paper, we propose a sandboxing system that executes speculative security checks, and describe design and implementation of the system. The proposed system predicts the future behavior of a sandboxed application and executes speculative security checks in parallel with the application, thus reducing the overhead. Future behavior is predicted based on profiles of system calls in past executions. We have implemented the system on Linux and made a preliminary evaluation.

Sandboxing systems are useful for secure execution of untrusted applications. Some sandboxing systems proposed so far assure security by intercepting system calls invoked by an application and controlling their execution. A problem in existing systems is the overhead of security checks performed after system call interceptions. In this paper, we propose a sandboxing system that executes speculative security checks, and describe design and implementation of the system. The proposed system predicts the future behavior of a sandboxed application and executes speculative security checks in parallel with the application, thus reducing the overhead. Future behavior is predicted based on profiles of system calls in past executions. We have implemented the system on Linux and made a preliminary evaluation.

収録刊行物

  • 情報処理学会研究報告システムソフトウェアとオペレーティング・システム(OS)

    情報処理学会研究報告システムソフトウェアとオペレーティング・システム(OS) 2004(63(2004-OS-096)), 1-6, 2004-06-17

    一般社団法人情報処理学会

参考文献:  17件中 1-17件 を表示

各種コード

  • NII論文ID(NAID)
    110002913937
  • NII書誌ID(NCID)
    AN10444176
  • 本文言語コード
    JPN
  • 資料種別
    Technical Report
  • ISSN
    09196072
  • NDL 記事登録ID
    7028513
  • NDL 雑誌分類
    ZM13(科学技術--科学技術一般--データ処理・計算機)
  • NDL 請求記号
    Z14-1121
  • データ提供元
    CJP書誌  NDL  NII-ELS  IPSJ 
ページトップへ