WEKO3
アイテム
システムコールの発行履歴が表す情報量の機微に基づく異常検知手法
https://ipsj.ixsq.nii.ac.jp/records/62187
https://ipsj.ixsq.nii.ac.jp/records/62187c5e2e830-a656-452f-acfb-22fe78bde805
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-CSEC09045028.pdf (240.7 kB)
|
Copyright (c) 2009 by the Information Processing Society of Japan
|
|
| オープンアクセス | ||
| Item type | SIG Technical Reports(1) | |||||||
|---|---|---|---|---|---|---|---|---|
| 公開日 | 2009-05-21 | |||||||
| タイトル | ||||||||
| タイトル | システムコールの発行履歴が表す情報量の機微に基づく異常検知手法 | |||||||
| タイトル | ||||||||
| 言語 | en | |||||||
| タイトル | An Anomaly Detection of Process Behavior by analyzing Sensitivity on Information Entropy of System call | |||||||
| 言語 | ||||||||
| 言語 | jpn | |||||||
| 資源タイプ | ||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_18gh | |||||||
| 資源タイプ | technical report | |||||||
| 著者所属 | ||||||||
| 九州大学大学院システム情報科学府/財団法人九州先端科学技術研究所 | ||||||||
| 著者所属 | ||||||||
| 九州大学大学院システム情報科学研究院/財団法人九州先端科学技術研究所 | ||||||||
| 著者所属 | ||||||||
| 九州大学大学院システム情報科学研究院/財団法人九州先端科学技術研究所 | ||||||||
| 著者所属 | ||||||||
| 九州大学大学院システム情報科学研究院/財団法人九州先端科学技術研究所 | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Graduate School of Information Science and Electrical Engineering, Kyushu University, Japan / Institute of Systems, Information Technologies and Nanotechnologies (ISIT) | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Faculty of Information Science and Electrical Engineering, Kyushu University, Japan / Institute of Systems, Information Technologies and Nanotechnologies (ISIT) | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Faculty of Information Science and Electrical Engineering, Kyushu University, Japan / Institute of Systems, Information Technologies and Nanotechnologies (ISIT) | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Faculty of Information Science and Electrical Engineering, Kyushu University, Japan / Institute of Systems, Information Technologies and Nanotechnologies (ISIT) | ||||||||
| 著者名 |
鑪, 講平
× 鑪, 講平
|
|||||||
| 著者名(英) |
Kohei, Tatara
× Kohei, Tatara
|
|||||||
| 論文抄録 | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | 近年,計算機に侵入するマルウェアによる被害が多数報告されている.侵入過程ではプロセスの制御が奪われるため,システムコールの発行履歴を監視し,異常動作を検出する研究が行われてきた.本研究では,一定期間に発行されたシステムコールから次に発行されるシステムコールの確率に着目し,マルコフ過程と見なす.システムコールの発行がもたらす情報量と,このマルコフ情報源から得られる情報量の期待値を比べ,この差が大きい場合に侵入行為とする検定手法を導入する.既存手法との比較により,提案手法の有効性を実験的に示す. | |||||||
| 論文抄録(英) | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | Recently, there are many reports of malwares which intrude and cause damages to computer systems. Many researchers work on monitoring a process and its history of emitting system calls and detecting its anomalous behavior because malwares often take away control from the process in their process of intrusion. In this paper, we focus on conditional probability of a system call came from a set of system calls executed at fixed periods and construct a Markov model by using its conditional probability. Moreover, we compare an information entropy of the system call and an expected value of the entropy from the Markov source. If its difference is higher than a threshold, we can decide anomalous behavior of the process. We experimentally show effectiveness of our proposal by comparing with the existing method. | |||||||
| 書誌レコードID | ||||||||
| 収録物識別子タイプ | NCID | |||||||
| 収録物識別子 | AA11235941 | |||||||
| 書誌情報 |
研究報告コンピュータセキュリティ(CSEC) 巻 2009-CSEC-45, 号 28, p. 1-8, 発行日 2009-05-21 |
|||||||
| Notice | ||||||||
| SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. | ||||||||
| 出版者 | ||||||||
| 言語 | ja | |||||||
| 出版者 | 情報処理学会 | |||||||
