WEKO3
アイテム
カーネルモジュールを用いた通信端点における侵入検知システム
https://ipsj.ixsq.nii.ac.jp/records/25363
https://ipsj.ixsq.nii.ac.jp/records/25363d36ea4e7-a75f-43bd-b0ff-bc2b9fdef5c7
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-OS08109006.pdf (525.9 kB)
|
Copyright (c) 2008 by the Information Processing Society of Japan
|
|
| オープンアクセス | ||
| Item type | SIG Technical Reports(1) | |||||||
|---|---|---|---|---|---|---|---|---|
| 公開日 | 2008-07-30 | |||||||
| タイトル | ||||||||
| タイトル | カーネルモジュールを用いた通信端点における侵入検知システム | |||||||
| タイトル | ||||||||
| 言語 | en | |||||||
| タイトル | Intrusion Detection System at Network Endpoint using Kernel modules | |||||||
| 言語 | ||||||||
| 言語 | jpn | |||||||
| 資源タイプ | ||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_18gh | |||||||
| 資源タイプ | technical report | |||||||
| 著者所属 | ||||||||
| 筑波大学 | ||||||||
| 著者所属 | ||||||||
| 筑波大学 | ||||||||
| 著者所属 | ||||||||
| 筑波大学 | ||||||||
| 著者所属 | ||||||||
| 筑波大学 | ||||||||
| 著者所属 | ||||||||
| 筑波大学 | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| University of Tsukuba | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| University of Tsukuba | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| University of Tsukuba | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| University of Tsukuba | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| University of Tsukuba | ||||||||
| 著者名 |
松井, 卓
× 松井, 卓
|
|||||||
| 著者名(英) |
Taku, Matsui
× Taku, Matsui
|
|||||||
| 論文抄録 | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | ネットワーク経由での攻撃に対処するためネットワーク侵入検知システム (NIDS) の導入が進んでいるが,内部からの攻撃を検知できない/スケーラビリティに欠けるなどの問題が指摘されている.これらの問題点を解決するため筆者らが提案している,通信端点における軽量ネットワーク侵入検知システムにおいて,カーネルモジュールを用いる手法を提案し,その実装と評価について述べる.提案システムは,一般的な NIDS で用いられている検知ルールをメモリ効率の良い DFA 状態遷移表として Linux のカーネル空間にロードし,プロトコルスタック内のフックを用いてパケットのペイロードを検査する.提案システムを実装し評価を行った結果,実用的な範囲内での速度低下は 25% 未満であった.メモリ消費量も非常に小さく,十分実用的であると考えられる. | |||||||
| 論文抄録(英) | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | To detect intrusion attempts through network, Network Intrusion Detection Systems (NIDSs) is being common as a tool for network administrators. Current NIDSs have inherent problems such as inability to detect attacks from internal network or lack of scalability. To resolve these problems, authors have proposed lightweight network intrusion detection framework at network endpoint. As a part of the framework, we describe in this paper a method using kernel module. Implementation overview and evaluation results are presented. Proposed system converts detection rules used in popular NIDS software into memory-efficient DFA state transition table and loads the table into Linux kernel space. The table is used to inspect packet payload at hook points inside protocol stack. Evaluation results show that overhead in throughput is less than 25% in practical settings, and memory overhead was very small, which supports practical usefulness of the approach. | |||||||
| 書誌レコードID | ||||||||
| 収録物識別子タイプ | NCID | |||||||
| 収録物識別子 | AN10444176 | |||||||
| 書誌情報 |
情報処理学会研究報告システムソフトウェアとオペレーティング・システム(OS) 巻 2008, 号 77(2008-OS-109), p. 39-45, 発行日 2008-07-30 |
|||||||
| Notice | ||||||||
| SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. | ||||||||
| 出版者 | ||||||||
| 言語 | ja | |||||||
| 出版者 | 情報処理学会 | |||||||
