WEKO3
アイテム
VMMによるアプリケーションを意識したカーネル内の振舞い制御
https://ipsj.ixsq.nii.ac.jp/records/69743
https://ipsj.ixsq.nii.ac.jp/records/69743ec7d23a5-a384-4015-a11f-9d31876cd2ed
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-TACS0302018.pdf (478.1 kB)
|
Copyright (c) 2010 by the Information Processing Society of Japan
|
|
| オープンアクセス | ||
| Item type | Trans(1) | |||||||
|---|---|---|---|---|---|---|---|---|
| 公開日 | 2010-06-21 | |||||||
| タイトル | ||||||||
| タイトル | VMMによるアプリケーションを意識したカーネル内の振舞い制御 | |||||||
| タイトル | ||||||||
| 言語 | en | |||||||
| タイトル | Application-aware Control of Kernel Behavior through VMM-based Interposition | |||||||
| 言語 | ||||||||
| 言語 | jpn | |||||||
| キーワード | ||||||||
| 主題Scheme | Other | |||||||
| 主題 | オペレーティングシステム | |||||||
| 資源タイプ | ||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_6501 | |||||||
| 資源タイプ | journal article | |||||||
| 著者所属 | ||||||||
| 東京大学大学院情報理工学系研究科コンピュータ科学専攻/現在,富士通研究所 | ||||||||
| 著者所属 | ||||||||
| 電気通信大学情報理工学部総合情報学科 | ||||||||
| 著者所属 | ||||||||
| 東京大学大学院情報理工学系研究科コンピュータ科学専攻 | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Department of Computer Science, Graduate School of Information Science and Technology, The University of Tokyo / Presently with Fujitsu Laboratories Ltd. | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Department of Informatics, Faculty of Informatics and Engineering, The University of Electro-Communications | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Department of Computer Science, Graduate School of Information Science and Technology, The University of Tokyo | ||||||||
| 著者名 |
尾上, 浩一
× 尾上, 浩一
|
|||||||
| 著者名(英) |
Koichi, Onoue
× Koichi, Onoue
|
|||||||
| 論文抄録 | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | カーネルレベルで稼働するマルウェア (カーネルレベルマルウェア) による攻撃は,システム全体に被害を与えたり,攻撃の検出が困難であったりすることから,その脅威は深刻である.これまでカーネルレベルマルウェアに対する様々なセキュリティシステムが提案されているが,保守的すぎるカーネル拡張の制限や適用時の実行時の性能低下に関して改善すべき点がある.本論文では,仮想マシンモニタ (VMM) を用いて,VM 内で稼働する OS カーネルの振舞いを制御するセキュリティシステム ShadowXeck を提案する.この制御は,読み込み専用のメモリ領域の保護と,OS カーネルにより発行された間接呼び出し命令や間接ジャンプ命令の制御によって実現される.ShadowXeck は,OS カーネルレベルよりも高い特権レベルの VMM による制御であるため,VM 内から ShadowXeck の振舞い制御機構を無効化することは困難である.我々は,AMD 64 アーキテクチャ上で Xen を用いて ShadowXeck を実装し,既存のカーネルレベルマルウェアを用いた ShadowXeck による OS カーネルの振舞い制御の確認や実行時オーバヘッドの計測を行った. | |||||||
| 論文抄録(英) | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | Threat of kernel-level malware, malware running at the kernel-level, is serious because it compromises a whole operating system and is often capable of hiding itself. Various security systems have been proposed to protect operating systems or applications from kernel-level malware. However, these systems have drawbacks such as forbidding the use of any kernel extensions or significant performance degradation. In this paper, we propose ShadowXeck, a VMM-based security system that controls the behavior of OS kernels running in a VM (called target OS kernels). The control is achieved in two ways. First, it prevents modification to read-only kernel-level memory. Second, it applies application-aware control to indirect call instructions and indirect jump instructions issued by target OS kernels. Since ShadowXeck runs in the VMM layer, malware running on a target OS has difficulty in stopping or bypassing the protection. We implemented ShadowXeck by using Xen on the AMD64 architecture. We confirmed through experiments that ShadowXeck could protect a target OS kernel from attacks by actual kernel-level malware. We also measured runtime overheads imposed by ShadowXeck. | |||||||
| 書誌レコードID | ||||||||
| 収録物識別子タイプ | NCID | |||||||
| 収録物識別子 | AA11833852 | |||||||
| 書誌情報 |
情報処理学会論文誌コンピューティングシステム(ACS) 巻 3, 号 2, p. 163-176, 発行日 2010-06-21 |
|||||||
| ISSN | ||||||||
| 収録物識別子タイプ | ISSN | |||||||
| 収録物識別子 | 1882-7829 | |||||||
| 出版者 | ||||||||
| 言語 | ja | |||||||
| 出版者 | 情報処理学会 | |||||||
