カーネルレベルルートキットの検知システムの構築(セッション3:高セキュア・高信頼化)
スポンサーリンク
概要
- 論文の詳細を見る
近年,クラッカーがコンピュータシステムへ侵入した後に,ルートキットと呼ばれるツールを使用することがある.ルートキットは,典型的にはコンピュータシステムへ侵入した痕跡や自身の存在を,システム管理者から隠蔽する機能を持つツールセットである.特に,カーネルレベルルートキットと呼ばれるルートキットは,OSカーネルから返される情報を改竄できるため,検知は単純ではない,本研究では,我々はカーネルレベルルートキットの検知システムSunnyをLinux上に実装し,実験により有効性を評価した.Sunnyはカーネルモジュールとして実装されており,本来不変であるはずのカーネルメモリ領域を監視し,その領域の変化をルートキットの存在を示すものとして検知する.具体的には,カーネルメモリ領域を固定長のメモリブロックに分割し,各ブロックの正しい内容のハッシュ値を特別な領域に保存しておく.そして,システムコールが発行される度に一つのブロックに対して,更新されたかどうかをハッシュ値によって検査する.頻繁にシステムコールが呼び出される場合には,ルートキットが入ってから短い時間でルートキットを検知することが可能である.
- 2008-04-16
著者
-
大山 恵弘
電気通信大学情報工学科
-
岩崎 英哉
電気通信大学情報工学科
-
岩崎 英哉
電気通信大学
-
小倉 寛之
電気通信大学情報工学科
-
岩崎 英哉
電気通信大学大学院情報理工学研究科
-
大山 恵弘
電気通信大学
-
小倉 寛之
電気通信大学情報工学科:(現)日本ヒューレット・パッカード株式会社
関連論文
- オンラインストレージと仮想マシンを利用した広域分散バックアップシステム(ストレージ)
- 準パススルー型仮想マシンモニタBitVisorの設計と実装(OS-4:仮想化,2008年並列/分散/協調処理に関する『佐賀』サマー・ワークショップ(SWoPP佐賀2008))
- 実行コンテキストに応じたポリシー指定が可能なサンドボックス(セキュリティ)
- カーネルレベルルートキットの検知システムの構築(セッション3:高セキュア・高信頼化)
- 異なる計算機間で正常動作情報を共有する異常検知システム(セキュリティ)
- 仮想マシンモニタによる仮想マシン内プロセスの制御(OS-2 : セキュリティ)
- なぜソフトウェア論文を書くのは難しい(と感じる)のか
- 特集「ソフトウェア論文」の編集にあたって
- 特集「ソフトウェア論文」の編集にあたって(ソフトウェア論文)
- 4.並列計算パターン(スケルトン)による並列プログラミング(マルチコアを活かすお手軽並列プログラミング)
- 世代別Mostly-Copying GCのRuby VMへの実装と評価
- 世代別Mostly-Copying GCのRuby VMへの実装に向けて
- ブラウザで動作するウェブアプリケーションのソースコード隠蔽機構
- サーバ/クライアント自動分割を備えたWebフレームワークの設計と実装
- Haskellプログラムの開発を支援するGHCiデバッガフロントエンド
- OCamlによるOSの実装
- VMMによるアプリケーションを意識したカーネル内の振舞い制御
- デバイスドライバのための障害回復機構(セッション3:高セキュア・高信頼化)
- 仮想マシンモニタを用いたOSコードの秘匿化
- 図表的文書の記述モデルAFAL
- サンプリングベース侵入検知システム
- LL-007 OS資源ビューの仮想化を用いた分散システムテストベッド(ネットワーク・セキュリティ)
- System Service監視によるWindows向け異常検知システム機構(オペレーティングシステム)
- 準パススルー型VMMのマルウェア検出機能による拡張
- 準パススルー型VMMのマルウェア検出機能による拡張
- プログラムの更新を可能とするCheckpoint/Restart機構
- メソッド実行委託を用いたRubyプロセスの負荷分散ライブラリ
- 純関数型言語の処理系における効率的な枝刈り機構の実装
- 特集「最新コンパイラ技術とCOINSによる実践」の編集にあたって
- 非同期処理のためのJavaScriptマルチスレッドフレームワーク
- リクエスト待機間隔を考慮したウェブサーバのkeep-alive時間の自動設定
- 要求駆動計算における要求粒度調節機構(プログラミング言語の設計)
- ユーザ入力の構文木解析によるSQLインジェクション攻撃防御法
- 要求の粒度が調節可能な遅延評価機構
- アプリケーションデータを保護するためのVMMに基づくアーキテクチャ
- マルチプロセッサ Unix マシン上における並列言語処理系の実装法の検討
- 準パススルー型VMMのマルウェア検出機能による拡張
- システムコール制御に基づく仮想マシン間サンドボックスシステム
- プログラム融合変換の実用的有効性の検証
- 枝刈り機構とメモ化機構をもつ言語
- 関係代数によるUNITYループの意味づけ
- B-029 ハイパバイザによる広告表示(B分野:ソフトウェア,一般論文)
- 仮想マシン間におけるcovert timing channelの評価
- 仮想マシン間におけるcovert timing channelの評価
- プログラミング研究会(研究会千夜一夜)
- Robin Milner : A Proposal for Standard ML(20世紀の名著名論)
- ストリームベースXML処理を支援するJavaクラス生成器
- プログラムの更新を可能とする Checkpoint/Restart 機構
- スケルトン並列プログラミング
- 最適化機構を持つC++並列スケルトンライブラリ(サイバー増大ページ論文概要,サイバー増大号)
- HyperShield:動作中のOSを安全な仮想マシン上に移行するための仮想マシンモニタ(コンピュータシステム技術,先端的コンピュータシステム技術及び一般)
- 需要変化に動的に対応する伸縮自在サーバ群の基本機構(コンピュータシステム)
- ファイル移送に基づく分散ファイルシステムの設計と実装
- 特定のフォーマットに依存しない文書処理系の設計と実装
- P2P型ファイル検索における高スループット・ピアの自動選択機構(インターネットとセキュリティ)
- モバイルコード技術によるアプリケーション層プロトコルのユーザ透過な配布機構(ソフトウェアシステム)
- D.E.Knuth, J.H.Morris, V.R.Pratt : Fast Pattern Matching in Strings(20世紀の名著名論)
- 初心者入門用言語「若葉」の言語仕様と処理系の実装
- 論理的関係に基づくプレゼンテーションスライド作成システムの設計と開発
- 論理的関係に基づくプレゼンテーションスライド作成システムの設計と開発
- 5E-8 PostScriptインタプリタを利用したプレゼンテーションシステム
- 初心者入門用言語"若葉"によるプログラミング学習環境の設計と実現
- 第三言語を介した対訳辞書の作成(並列処理)
- 蓄積引数を持つ関数プログラムの融合変換
- 関数プログラムのプロモーション変換のための二手法の関係
- コールスタック情報を利用したモデル分割に基づく異常検知システム
- サンプリングベース侵入検知システム (情報通信システムセキュリティ)
- 仮想マシン技術の応用(仮想マシン道しるべ)
- 重複除外によるGfarmの性能向上に関する検討
- ADvisor:ゲストOSの操作に連動した広告を表示するハイパバイザ
- Gfarmのためのカーネルドライバへのキャッシュ機構導入の検討
- アプリケーションの実行を指定した時間に制限するためのLinuxの拡張
- アプリケーションの実行を指定した時間に制限するためのLinuxの拡張
- 平面上の矩形和の最大値問題の並列プログラムの導出
- 仮想マシンモニタを用いたSoftware Fault Injection
- 排他制御機構を選択できるクリティカルセクションの設計と実装
- 広域分散ファイルシステムGfarmにおけるローカルストレージのファイルアクセスの高速化
- 広域分散ファイルシステムGfarmにおけるローカルストレージのファイルアクセスの高速化
- 広域分散ファイルシステムGfarmにおけるローカルストレージのファイルアクセスの高速化
- 広域分散ファイルシステムGfarmにおけるローカルストレージのファイルアクセスの高速化
- Catamorphismに基づく関数プログラムの変換
- Catamorphismに基づく関数プログラムの変換
- Lispにおける並列動作の記述と実現
- 無害なバグを大量に含ませるプログラム変換器(セキュリティ関係,一般)
- 無害なバグを大量に含ませるプログラム変換器(セキュリティ関係,一般)
- 無害なバグを大量に含ませるプログラム変換器(セキュリティ関係,一般)
- 無害なバグを大量に含ませるプログラム変換器(セキュリティ関係,一般)
- Glasgow Haskell Compilerにおける再帰的データ構造のための遅延オブジェクトの再利用 (プログラミング Vol.5 No.2)
- VMMを用いたマルウェア検出システムのためのシグネチャデータ更新機能とメモリデータ検査機能
- Content-Defined Chunkingを用いた重複除外キャッシュ機構の実装と評価
- Content-Defined Chunkingを用いた重複除外キャッシュ機構の実装と評価
- ビットマップマーキングを利用したマークコンパクトごみ集めのJikes RVMへの実装
- 「情報処理学会論文誌 : プログラミング」の編集について
- 状況をつぶやくセキュリティシステム(サービス管理,運用管理技術,セキュリティ管理,及び一般)
- ページ回収に伴うOSノイズの除去
- GfarmファイルシステムへのCooperative Cachingの実装
- Ruby on Railsにおけるテストケース自動生成の提案と実装
- 低優先度処理を指定可能なリアルタイム処理向けI/Oスケジューラ
- InfiniBandを利用したCooperative Cachingの実装と評価