踏み台攻撃だけを抑制できるVMMレベル・パケットフィルタ
スポンサーリンク
概要
- 論文の詳細を見る
クラウドコンピューティングにおいて、ユーザに提供している仮想マシン (VM) からの踏み台攻撃はデータセンタにとって大きな問題である。VM から踏み台攻撃が行われると、データセンタが攻撃者とみなされる可能性がある。ファイアウォールで踏み台攻撃の通信を遮断することができるが、踏み台にされた VM からの通信を完全に遮断してしまうとサービス可用性が低下してしまう。高いサービス可用性を保つため、我々は仮想マシンモニタ (VMM) で動作するきめ細かいパケットフィルタ xFilter を提案する。xFilter は VM のメモリ解析を行って取得したゲスト OS 内の情報を用いることで、踏み台攻撃を行っているプロセスからのパケットのみを破棄する。踏み台攻撃を検出する侵入検知システムも VMM で動作させることで、パケットの送信元を特定する精度を高めている。いくつかの最適化を行うことで xFilter のオーバーヘッドを小さくすることができた。
- 2011-01-17
著者
-
千葉 滋
東京工業大学情報理工学研究科数理・計算科学専攻
-
千葉 滋
東京工業大学大学院情報理工学研究科数理・計算科学専攻
-
千葉 滋
東京工業大学
-
光来 健一
九州工業大学|独立行政法人科学技術振興機構, CREST
-
安積 武志
東京工業大学
-
光来 健一
九州工業大学|独立行政法人科学技術振興機構 Crest
-
千葉 滋
東京工業大学数理・計算科学専攻
-
千葉 滋
東京工業大学大学院情報理工学研究科
-
光来 健一
九州工業大学
-
光来 健一
九州工業大学大学院情報工学研究院情報創成工学研究系
関連論文
- 準パススルー型仮想マシンモニタBitVisorの設計と実装(OS-4:仮想化,2008年並列/分散/協調処理に関する『佐賀』サマー・ワークショップ(SWoPP佐賀2008))
- XenLASY : XenのI/O処理を追跡するためのアスペクト指向プロファイラ
- アスペクト指向を用いたアジャイル分散ソフトウェア開発のための環境
- 例外処理のためのアスペクト指向言語
- OSカーネル用アスペクト指向システムKLASY
- アスペクト指向プログラミングとDependency Injectionの融合
- 分散ソフトウェアのテストに適したアスペクト指向言語(プログラミング言語の設計)
- アスペクト指向を用いたカーネルプロファイラ(性能評価)
- リフレクションの高速化技術
- 通信処理のカーネル内競合を検出するアスペクト指向カーネルレベルロガー(OS-2:モニタリング)(2004年並列/分散/協調処理に関する『青森』サマー・ワークショップ(SWoPP青森2004) : 研究会・連続同時開催)
- 豊富な情報を基にしたpointcutを記述できるアスペクト指向言語
- 分散Javaプログラミングのためのアスペクト指向言語
- ポスト・オブジェクト指向技術の応用としての高信頼ソフトウェア(ディペンダブルコンピュータシステム及び一般)
- 5アスペクト指向ソフトウェア開発とそのツール(モデリングとツールを駆使したこれからのソフトウェア開発技法 : モデル駆動開発手法を中心として)
- 効率的なJava Dynamic AOPシステムを実現するJust-in-Time Weaver
- Addistant : アスペクト指向の分散プログラミング支援ツール
- OSDI 2004
- 踏み台攻撃だけを抑制できるVMMレベル・パケットフィルタ
- IDSオフロードを考慮した仮想マシンへの動的メモリ割当
- 仮想マシンモニタによるきめ細かいパケットフィルタリング
- 仮想マシンモニタによるきめ細かいパケットフィルタリング
- 仮想マシンを用いた既存IDSのオフロード
- ユーザ権限変更機構を利用した安全なイントラネットサーバの実現(分散ファイルシステム)
- クライアントのユーザ認証情報を用いたサーバプロセスの権限変更機構
- クライアントのユーザ認証情報を用いたサーバプロセスの権限変更機構
- 特集「ソフトウェアシステム」の編集にあたって
- DS-2-2 インターユビキタスネットワーク情報基盤のための人間行動マイニング(DS-2. 安全安心とセンシングネットワーク,シンポジウムセッション)
- 拡張可能OSのfail-safe機構
- ポスト・オブジェクト指向技術の応用としての高信頼ソフトウェア(ディペンダブルコンピュータシステム及び一般)
- Open Your Mind(Interactive Essay)
- 仮想マシンを用いたIDSオフロードにおけるCPU資源管理
- 仮想マシンを用いたIDSオフロードにおけるCPU資源管理
- 仮想マシンを用いたIDSオフロードにおけるCPU資源管理
- 仮想マシンを用いたIDSオフロードにおけるCPU資源管理
- 仮想マシンモニタによるきめ細かいパケットフィルタリング
- 仮想マシンモニタによるきめ細かいパケットフィルタリング
- ユーザ毎にカスタマイズ可能な Web アプリケーション用のフレームワークの実装
- ユーザ毎にカスタマイズ可能なWebアプリケーション用のフレームワークの実装
- 仮想マシン間プロセススケジューリングの実環境への適用にむけて
- 仮想マシン間プロセススケジューリングの実環境への適用にむけて
- 仮想マシン間プロセススケジューリングの実環境への適用にむけて
- 仮想マシン間プロセススケジューリングの実環境への適用にむけて
- SAccessor:デスクトップPCのための安全なファイルアクセス制御
- 仮想マシン間にまたがるプロセススケジューリング
- 23. 本当に柔らかいソフトウェア(1000号記念「夢・創・想・感」)
- VPNとホストの実行環境を統合するパーソナルネットワーク(ソフトウェアシステム)
- 乗っ取られても安全なコンピュータ (特集 コンピュータセキュリティ)
- ネットワークの監視技術を用いたファイル更新履歴保存システムの実現(分散ファイルシステム)
- 実行時情報を用いて通信を最適化するPCクラスタ上の並列化コンパイラ
- 通信機構に合わせた最適化を行う並列化コンパイラ
- クラスオブジェクトを用いたJava言語用マクロ処理系
- 分散IDSの実行環境の分離による安全性の向上(OS-3:ネットワーク)(2004年並列/分散/協調処理に関する『青森』サマー・ワークショップ(SWoPP青森2004) : 研究会・連続同時開催)
- 感性を考慮したジョブスケジューリング
- 2000-HPC-82-16 実行時情報を用いたブロックストライド通信の静的な最適化
- ループの部分実行に基づく並列化コンパイラの実装
- 過負荷時のWebアプリケーションの性能を改善するSession-aware Queue Scheduling(サイバー増大ページ論文概要,新しいソフトウェアの実現,サイバー増大号)
- 仮想的な分散監視環境による安全な侵入検知アーキテクチャ(セキュリティ)
- アスペクト指向を利用してデバッグコードを挿入できるソフトウェア開発環境(サイバー増大ページ論文概要,サイバー増大号)
- 広域分散ファイルシステムにおける2次サーバの有効性と限界
- プログラミングおよびプログラミング言語の編集にあたって(プログラミングおよびプログラミング言語)
- 管理VMへのキーボード入力情報漏洩の防止
- IaaS環境におけるVMのメモリ暗号化による情報漏洩の防止
- IaaS環境におけるVMのメモリ暗号化による情報漏洩の防止
- 2つのメソッド呼び出しに関わる最適化を可能にするアスペクト指向言語
- コード領域を対象とする関心事を扱うためのアスペクト指向プログラミング言語の拡張
- 部分的再ロードによるJavaプログラムの再起動の高速化
- Javaバイトコード変換による構造リフレクションの実現(21世紀のグループウェア)
- VM Shadow:既存IDSをオフロードするための実行環境
- VM Shadow:既存IDSをオフロードするための実行環境
- 他のプロセスに与える影響が少ない実行時ミラーリングシステム(OS-5 : スケジューリング)
- 複製を用いた大規模情報サーバの構築
- 大規模分散ファイルシステムの構成方式の検討
- A. Goldberg and D. Roboson : Smalltalk-80 : The Language and Its Implementation(20世紀の名著名論)
- ソフトウエア制御オンチップメモリのための最適化コンパイラの構想
- IaaSにおける管理VMへの画面情報漏洩の防止
- SPE Observer: Cell/B.E. のSPEを用いたOS監視システム
- サーバのアクセス制限を安全に変更するための機構システムソフトウェアの新しい潮流
- 2000-OS-85-8 動的なアクセス権限変更のためのアクセス制限の安全な解除機構
- ファイルシステムキャッシュを考慮したIDSオフロード
- IaaS環境における安全な帯域外リモート管理機構
- CloudCom 2012会議参加報告
- IaaSクラウドの帯域外リモート管理における情報漏洩の防止
- CloudCom 2012会議参加報告
- IaaSクラウドの帯域外リモート管理における情報漏洩の防止
- KVMにおける仮想マシンの内部監視機構の実装と性能評価
- クラウド上の仮想マシンの安全なリモート監視機構
- 帯域外リモー卜管理の継続が可能なマイグレーション手法
- インターネットにおけるパーソナルネットワークの構築
- クラス定義の発展と自己反映計算によるその対処
- ネットワークモジュールの自動配布による通信の高速化
- クラウドにおけるアプリケーション単位でのVM構成の動的最適化
- クラウドにおけるアプリケーション単位でのVM構成の動的最適化
- 仮想化システムのソフトウェア若化(ソフトウェアのエージングと若化)