WEKO3
アイテム
監視対象システムを止めずに対制御データルートキットを検知するシステム
https://ipsj.ixsq.nii.ac.jp/records/222493
https://ipsj.ixsq.nii.ac.jp/records/2224931ea63089-e6ea-4315-881c-c5385a9a154d
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-WPRO2018006.pdf (1.1 MB)
|
Copyright (c) 2018 by the Information Processing Society of Japan
|
|
| オープンアクセス | ||
| Item type | Symposium(1) | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| 公開日 | 2018-01-19 | |||||||||
| タイトル | ||||||||||
| タイトル | 監視対象システムを止めずに対制御データルートキットを検知するシステム | |||||||||
| 言語 | ||||||||||
| 言語 | jpn | |||||||||
| キーワード | ||||||||||
| 主題Scheme | Other | |||||||||
| 主題 | ルートキット検知,KVM仮想マシン,Ftrace | |||||||||
| 資源タイプ | ||||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_5794 | |||||||||
| 資源タイプ | conference paper | |||||||||
| 著者所属 | ||||||||||
| 電気通信大学 | ||||||||||
| 著者所属 | ||||||||||
| 電気通信大学 | ||||||||||
| 著者名 |
徐, 振宇
× 徐, 振宇
× 岩崎, 英哉
|
|||||||||
| 論文抄録 | ||||||||||
| 内容記述タイプ | Other | |||||||||
| 内容記述 | 対制御データルートキットとは,ユーザプロセスが発行するシステムコールのカーネ ル内処理ルーチンを改竄し,目的を実現するマルウェアである.この種のルートキットは, 実現しやすい,汎用性が高い,そして検知されにくいという特徴を持つ.ルートキットによ り汚染されたシステムの上で動作するルートキット検知システムの挙動は信用できないた め,検知システムは仮想マシンモニタを利用するなどして対象システムの外部に置くのが一 般的である.しかし,従来の多くの研究では,一時的に対象システムを止めて,システムか ら必要な情報を取得するが,オーバーヘッドが大きく,対象システムのパフォーマンスを低 下させるという問題点があった.本研究は,対象システムを止めることなく,監視対象の外 部からルートキットを検知するシステムを目指す.そのため,対象システムのカーネル関数 のコールフローを取得するカーネル組み込みの Ftrace を拡張し,トレース情報を対象シス テムの外部で取得して,ルートキットの検知に利用する. | |||||||||
| 書誌情報 |
第59回プログラミング・シンポジウム予稿集 巻 2018, p. 31-40, 発行日 2018-01-19 |
|||||||||
| 出版者 | ||||||||||
| 言語 | ja | |||||||||
| 出版者 | 情報処理学会 | |||||||||
