ログイン 新規登録
言語:

WEKO3
  • トップ
  • ランキング


インデックスリンク

インデックスツリー

  • RootNode

メールアドレスを入力してください。

WEKO

One fine body…

WEKO

One fine body…

アイテム

  1. シンポジウム
  2. シンポジウムシリーズ
  3. コンピュータシステム・シンポジウム
  4. 2021

マルウェア解析のための高速かつ安全なVMI機構

https://ipsj.ixsq.nii.ac.jp/records/214141
https://ipsj.ixsq.nii.ac.jp/records/214141
6fe9bbff-21cc-4152-95b2-5407b60eebe8
名前 / ファイル ライセンス アクション
IPSJ-ComSys2021006.pdf IPSJ-ComSys2021006.pdf (1.6 MB)
Copyright (c) 2021 by the Information Processing Society of Japan
オープンアクセス
Item type Symposium(1)
公開日 2021-11-25
タイトル
タイトル マルウェア解析のための高速かつ安全なVMI機構
タイトル
言語 en
タイトル A Fast and Secure VMI Mechanism for Malware Analysis
言語
言語 jpn
キーワード
主題Scheme Other
主題 セキュリティ
資源タイプ
資源タイプ識別子 http://purl.org/coar/resource_type/c_5794
資源タイプ conference paper
著者所属
電気通信大学
著者所属
東京大学
著者所属
電気通信大学
著者所属
電気通信大学
著者所属
電気通信大学
著者所属
東京大学
著者名 森, 瑞穂

× 森, 瑞穂

森, 瑞穂
Search repository
味曽野, 雅史

× 味曽野, 雅史

味曽野, 雅史
Search repository
八巻, 隼人

× 八巻, 隼人

八巻, 隼人
Search repository
三輪, 忍

× 三輪, 忍

三輪, 忍
Search repository
本多, 弘樹

× 本多, 弘樹

本多, 弘樹
Search repository
品川, 高廣

× 品川, 高廣

品川, 高廣
Search repository
論文抄録
内容記述タイプ Other
内容記述 マルウェアの挙動や攻撃手法を解析する手段として,仮想マシン上のプログラムの内部状態を観察するVirtual Machine Introspection (VMI)という手法が用いられている.VMIには、主に外部のハイパーバイザから行うOut-of-the-box方式と仮想マシン内部から行うIn-the-box方式の2つがあるが,両者は解析時の動作速度の高速性と解析システムを保護・隠蔽する安全性の面でトレードオフの関係にある.そこで我々は,高速かつ安全なVMI機構としてFastVMIXを提案する.FastVMIXでは,マルウェアを解析する解析エージェントを仮想マシン内部に挿入することによってハイパーバイザへのコンテキストスイッチを減らしつつ,Intel CPUがサポートするVMFUNCのEPTP SwitchingとHuge Pageを用いた高速な動的メモリ保護変更機構により、マルウェアから解析エージェントのメモリ領域を保護・隠蔽する.また,準パススルー型ハイパーバイザを用いることで、仮想化のオーバーヘッド削減及び隠蔽度の向上を図る.本論文では,BitVisorをベースにFastVMIXを実装した結果を報告する.
論文抄録(英)
内容記述タイプ Other
内容記述 As a means of quickly analyzing malware behavior and attack methods, a technique called Virtual Machine Introspection (VMI) is used to observe the internal state of programs on a virtual machine. A typical VMI system mainly takes either an out-of-the-box (i.e., with hypervisor) or in-the-box (i.e., within the virtual machine) approach; however, these two approaches involve a trade-off between the analysis speed and the security of protectiong and hiding the analysis system. In this paper, we propose FastVMIX that realizes fast and secure VMI. FastVMIX reduces the number of context switches to the hypervisor during malware analysis by inserting an analysis agent in the target virtual machine, while protecting and hiding the agent's memory area by switching memory protection with EPTP switching of VMFUNC and huge pages supported by Intel CPUs. In addition, we used a para-pass-through hypervisor to reduce the overhead of virtualization and improve the degree of hiding. This paper reports several experimental results of FastVMIX built on BitVisor.
書誌情報 コンピュータシステム・シンポジウム論文集

巻 2021, p. 48-56, 発行日 2021-11-25
出版者
言語 ja
出版者 情報処理学会
戻る
0
views
See details
Views

Versions

Ver.1 2025-01-19 16:53:15.746991
Show All versions

Share

Mendeley Twitter Facebook Print Addthis

Cite as

森, 瑞穂, 味曽野, 雅史, 八巻, 隼人, 三輪, 忍, 本多, 弘樹, 品川, 高廣, 2021: 情報処理学会, 48–56 p.
Loading...

エクスポート

OAI-PMH
  • OAI-PMH JPCOAR
  • OAI-PMH DublinCore
  • OAI-PMH DDI
Other Formats
  • JSON
  • BIBTEX

Confirm

Powered by WEKO3

Powered by WEKO3