| Item type |
Journal(1) |
| 公開日 |
2012-09-15 |
| タイトル |
|
|
タイトル |
コールスタックの制御データ検査によるスタック偽装攻撃検知 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Mimicry Attack Detection by Saving and Checking Control Data Stored on Call Stack |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
[特集:スマートな社会を実現するコンピュータセキュリティ技術] スタック偽装攻撃,侵入検知システム,バッファオーバフロー,脆弱性 |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_6501 |
|
資源タイプ |
journal article |
| 著者所属 |
|
|
|
立命館大学 |
| 著者所属 |
|
|
|
立命館大学 |
| 著者所属 |
|
|
|
立命館大学 |
| 著者所属 |
|
|
|
立命館大学 |
| 著者所属 |
|
|
|
立命館大学 |
| 著者所属 |
|
|
|
名古屋工業大学 |
| 著者所属 |
|
|
|
NPO情報セキュリティ研究所 |
| 著者所属 |
|
|
|
立命館大学 |
| 著者所属(英) |
|
|
|
en |
|
|
Ritsumeikan University |
| 著者所属(英) |
|
|
|
en |
|
|
Ritsumeikan University |
| 著者所属(英) |
|
|
|
en |
|
|
Ritsumeikan University |
| 著者所属(英) |
|
|
|
en |
|
|
Ritsumeikan University |
| 著者所属(英) |
|
|
|
en |
|
|
Ritsumeikan University |
| 著者所属(英) |
|
|
|
en |
|
|
Nagoya Institute of Technology |
| 著者所属(英) |
|
|
|
en |
|
|
The Research Institute of Information Security |
| 著者所属(英) |
|
|
|
en |
|
|
Ritsumeikan University |
| 著者名 |
冨永, 悠生
樫山, 武浩
瀧本, 栄二
桑原, 寛明
毛利, 公一
齋藤, 彰一
上原, 哲太郎
國枝, 義敏
|
| 著者名(英) |
Yuuki, Tominaga
Takehiro, Kashiyama
Eiji, Takimoto
Hiroaki, Kuwabara
Koichi, Mouri
Shoichi, Saito
Tetsutaro, Uehara
Yoshitoshi, Kunieda
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
既存のホスト型侵入検知システムやコンパイラの拡張によるバッファオーバフローの検知では,検知システムを回避した攻撃が存在し問題となっている.我々は検知システムを回避する攻撃の1つであるスタック偽装攻撃に着目し,スタック偽装攻撃を検出することを目的としたこれまでにない侵入検知システムを新たに提案する.本システムでは,コールスタックに積まれたフレームポインタとリターンアドレスからなる制御データを検査し,制御データの書き換えを検知することでスタック偽装攻撃を防ぐ.関数呼び出し時に制御データをバッファオーバフローによる書き換えを受けないメモリ領域に退避させ,関数呼び出し元への復帰時に退避させた制御データとスタック上の制御データが一致するかを検査する.これにより,スタック偽装攻撃による不正な制御データの偽装を検知できる.提案手法を実装し,gzipとhttpdならびにwcを動作させた際,本提案による増加部分が全実行時間に占める割合は,それぞれ2.52%,71.09%,94.82%であった. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
There are many methods to detect buffer overflow using host-based intrusion detection systems or compiler extensions. Some attacks, however, can avoid these defense systems. One of such attacks is “mimicry attack”. In this paper, we propose a new intrusion detection system focusing on mimicry attack. Our system detects invalid control data (frame pointer and return address on call stack) overwritten by mimicry attack. This detection method consists of saving and checking processes. The saving process, which is invoked when entering every functions, saves control data to the invulnerable memory area. The checking process, which is invoked when exiting any functions, compares the saved and real control data. We have implemented this proposed system and evaluated its time overhead. The percentage of the processing time for this proposed method in each total execution time of gzip process, httpd and wc are 2.52%, 71.09% and 94.82% respectively. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AN00116647 |
| 書誌情報 |
情報処理学会論文誌
巻 53,
号 9,
p. 2075-2085,
発行日 2012-09-15
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
1882-7764 |
IPSJ-JNL5309005 (947.1 kB)
