WEKO3
-
RootNode
アイテム
Yataglass:攻撃の擬似実行による攻撃メッセージの振舞いの解析
https://ipsj.ixsq.nii.ac.jp/records/66486
https://ipsj.ixsq.nii.ac.jp/records/6648630089369-2d44-455a-8a78-bbcc8e185be2
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-JNL5009037.pdf (228.6 kB)
|
Copyright (c) 2009 by the Information Processing Society of Japan
|
|
| オープンアクセス | ||
| Item type | Journal(1) | |||||||
|---|---|---|---|---|---|---|---|---|
| 公開日 | 2009-09-15 | |||||||
| タイトル | ||||||||
| タイトル | Yataglass:攻撃の擬似実行による攻撃メッセージの振舞いの解析 | |||||||
| タイトル | ||||||||
| 言語 | en | |||||||
| タイトル | Yataglass: Network-level Attack Behavior Analysis with Emulated Execution | |||||||
| 言語 | ||||||||
| 言語 | jpn | |||||||
| キーワード | ||||||||
| 主題Scheme | Other | |||||||
| 主題 | 一般論文 | |||||||
| 資源タイプ | ||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_6501 | |||||||
| 資源タイプ | journal article | |||||||
| 著者所属 | ||||||||
| 慶應義塾大学理工学部情報工学科 | ||||||||
| 著者所属 | ||||||||
| 慶應義塾大学理工学部情報工学科/科学技術振興機構CREST | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Department of Information and Computer Science, Faculty of Science and Technology, Keio University | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Department of Information and Computer Science, Faculty of Science and Technology, Keio University / CREST, Japan Science and Technology Agency | ||||||||
| 著者名 |
嶋村, 誠
河野, 健二
× 嶋村, 誠 河野, 健二
|
|||||||
| 著者名(英) |
Makoto, Shimamura
Kenji, Kono
× Makoto, Shimamura Kenji, Kono
|
|||||||
| 論文抄録 | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | バッファオーバフロー攻撃に代表されるリモートコードインジェクション攻撃が大きな問題となっている.このような攻撃を検知するため,近年ではメッセージ中に機械語命令列に相当するバイト列が含まれているかどうかを検査するネットワーク侵入検知システム(NIDS)が提案されている.しかし,これらのシステムでは検知した攻撃コードが実際にサーバ上でどのように振る舞うかは分からない.このため,NIDSが攻撃を検知すると,管理者は適切な対策をとるため,人手で攻撃コードの振舞いを調査しなければならない.本論文では攻撃メッセージを解析し,攻撃コードの振舞いを抽出するシステムであるYataglassを提案する.Yataglassでは,NIDSが検知したメッセージを機械語命令列と見なして擬似的に実行し,攻撃が成功したときに実行されるシステムコール列を抽出する.実際にIntel x86アーキテクチャのLinuxおよびWindowsに対する攻撃メッセージを対象としたYataglassのプロトタイプを作成し,実験を行った.実験の結果,Sambaを対象とする攻撃メッセージや,Metasploit Frameworkから生成された攻撃メッセージが実行するシステムコールを抽出することができた. | |||||||
| 論文抄録(英) | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | Remote code injection attacks such as buffer-overflow attacks are still one of the most serious attacks on computer systems. Current researchers focus on network intrusion detection systems (NIDSs) to detect anomal byte sequences such as machine instructions in network messages. However, such systems do not analyze behaviors of detected attacks and thus the administrator must find damage on her server when her NIDS detects an attack. In this paper, we propose a network message analyzer called Yataglass which executes attack code in an emulated environment. Yataglass treats the byte stream of a detected message as machine instructions and analyzes them to reveal behaviors of the attack code (i.e., which system calls the attack issues). Experimental results show that Yataglass successfully generated a list of system calls issued by a real attack message for Samba server and polymorphic attacks generated by the Metasploit Framework. | |||||||
| 書誌レコードID | ||||||||
| 収録物識別子タイプ | NCID | |||||||
| 収録物識別子 | AN00116647 | |||||||
| 書誌情報 |
情報処理学会論文誌 巻 50, 号 9, p. 2371-2381, 発行日 2009-09-15 |
|||||||
| ISSN | ||||||||
| 収録物識別子タイプ | ISSN | |||||||
| 収録物識別子 | 1882-7764 | |||||||
