WEKO3
アイテム
SystemService監視によるWindows向け異常検知システム機構
https://ipsj.ixsq.nii.ac.jp/records/18322
https://ipsj.ixsq.nii.ac.jp/records/183226c363973-1051-4c99-9f2e-0ab9d8a60aea
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-TACS4712038.pdf (274.8 kB)
|
Copyright (c) 2006 by the Information Processing Society of Japan
|
|
| オープンアクセス | ||
| Item type | Trans(1) | |||||||
|---|---|---|---|---|---|---|---|---|
| 公開日 | 2006-09-15 | |||||||
| タイトル | ||||||||
| タイトル | SystemService監視によるWindows向け異常検知システム機構 | |||||||
| タイトル | ||||||||
| 言語 | en | |||||||
| タイトル | Detecting Anomalies on Windows by Monitoring System Services | |||||||
| 言語 | ||||||||
| 言語 | jpn | |||||||
| キーワード | ||||||||
| 主題Scheme | Other | |||||||
| 主題 | オペレーティングシステム | |||||||
| 資源タイプ | ||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_6501 | |||||||
| 資源タイプ | journal article | |||||||
| 著者所属 | ||||||||
| 東京大学大学院情報理工学系研究科コンピュータ科学専攻 | ||||||||
| 著者所属 | ||||||||
| 電気通信大学情報工学科 | ||||||||
| 著者所属 | ||||||||
| 東京大学大学院情報理工学系研究科コンピュータ科学専攻 | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Department of Computer Science, Graduate School of Information Science and Technology, the University of Tokyo | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Department of Information Science, the Univesity of Electro-Communication | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Department of Computer Science, Graduate School of Information Science and Technology, the University of Tokyo | ||||||||
| 著者名 |
島本, 大輔
× 島本, 大輔
|
|||||||
| 著者名(英) |
Daisuke, Shimamoto
× Daisuke, Shimamoto
|
|||||||
| 論文抄録 | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | 近年,不正なプログラムによる攻撃はきわめて高度化している.多相型ウィルスや新種の攻撃コードなどによるいくつかの攻撃は,データのバイト列を攻撃のシグネチャと単純にマッチングする方式によるセキュリティシステムでは検知できないことがある.このような攻撃を検知するための有効な対策の1つに,プログラムの動作の監視による異常検知がある.本論文では,WindowsのSystem Serviceの監視による異常検知方式を提案する.提案方式では,まず,アプリケーションの正常な動作をSystem Service呼び出し動作のプロファイルから特徴化する.具体的には,System Service呼び出しのN-gram集合を生成し,それを正常な動作を表現するデータベースとして用いる.そして,監視対象のプログラムの動作をそのデータベースと比較することにより異常を検知する.我々は提案方式に基づく異常検知システムを実装し,現実的なアプリケーションを用いて実験を行った.実験では,特徴化に用いられるデータベースのサイズや異常を検知する能力について評価を行った. | |||||||
| 論文抄録(英) | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | In recent years, attacks by malicious programs are becoming highly sophisticated. Some new exploits and polymorphic viruses can evade the detection of security systems which depend on simple matching of byte sequences. An effective countermeasure against this kind of attacks is anomaly detection by monitoring the behavior of programs. In this paper, we propose an anomaly detection method that monitors System Services on Windows operating systems. The proposed method first characterizes the normal behavior of an application by using a profile of System Service calls. Specifically, it creates N-grams of System Service calls and utilizes it as a data base representing the normal behavior. Then, it detects anomalies by comparing the behavior of monitored programs with the database. We implemented an anomaly detection system based on the proposed method and conducted experiments using realistic applications. Through the experiments, we have evaluated the size of database for characterization and the ability to detect anomalies. | |||||||
| 書誌レコードID | ||||||||
| 収録物識別子タイプ | NCID | |||||||
| 収録物識別子 | AA11833852 | |||||||
| 書誌情報 |
情報処理学会論文誌コンピューティングシステム(ACS) 巻 47, 号 SIG12(ACS15), p. 420-429, 発行日 2006-09-15 |
|||||||
| ISSN | ||||||||
| 収録物識別子タイプ | ISSN | |||||||
| 収録物識別子 | 1882-7829 | |||||||
| 出版者 | ||||||||
| 言語 | ja | |||||||
| 出版者 | 情報処理学会 | |||||||
