カーネル仮想記憶空間における排他的ページ参照によるカーネルの攻撃耐性の実現と評価

葛野, 弘樹; 山内, 利宏; Hiroki, Kuzuno; Toshihiro, Yamauchi

WEKO3

lat lon distance

[[sub_check.contents]]

[[sub_radio.contents]]

Field does not validate

[[sub_attr.contents]]　

インデックスツリー

アイテム

カーネル仮想記憶空間における排他的ページ参照によるカーネルの攻撃耐性の実現と評価

https://ipsj.ixsq.nii.ac.jp/records/201387

名前 / ファイル	ライセンス	アクション
IPSJCSS2019094.pdf (1.5 MB)	Copyright (c) 2019 by the Information Processing Society of Japan
オープンアクセス

Item type

Symposium(1)

公開日

2019-10-14

タイトル

カーネル仮想記憶空間における排他的ページ参照によるカーネルの攻撃耐性の実現と評価

タイトル

言語

タイトル

Design and Implementation of Exclusive Page Reference Mechanism Mitigates Kernel Vulnerability Attack

言語

jpn

キーワード

主題Scheme

Other

主題

ページ管理，仮想記憶空間，カーネル脆弱性，オペレーティングシステム，システムセキュリティ

資源タイプ

資源タイプ識別子

http://purl.org/coar/resource_type/c_5794

資源タイプ

conference paper

著者所属

岡山大学大学院自然科学研究科／セコム株式会社IS研究所

著者所属

岡山大学大学院自然科学研究科

著者所属(英)

Graduate School of Natural Science and Technology, Okayama University / Intelligent Systems Laboratory, SECOM Co., Ltd.

著者所属(英)

Graduate School of Natural Science and Technology, Okayama University

著者名

葛野, 弘樹
山内, 利宏

著者名(英)

Hiroki, Kuzuno
Toshihiro, Yamauchi

論文抄録

内容記述タイプ

Other

内容記述

オペレーティングシステムカーネルの仮想記憶空間は全てのプロセスで共有する管理方式が取られる．仮想化などのカーネル機能を利用するプロセスでは，CPU 状態やセキュリティポリシをカーネルの仮想記憶空間に保存する．一部のプロセスからカーネルの脆弱性を利用した攻撃を想定した場合，他のプロセスの利用するカーネル仮想記憶空間領域は侵害される可能性がある．ハードウェアでは Trusted Execution Environment による物理記憶空間の分離，ならびに，ソフトウェアでは，カーネルモードとユーザモード，およびシステムコール単位にて仮想記憶空間を分離する手法が提案されている．既存手法ではプロセス毎にカーネルの仮想記憶空間において参照可能な記憶領域は明確に分離されず，依然としてカーネルへの攻撃により全てのプロセスで共有するカーネルの仮想記憶空間は攻撃の影響を受ける．本稿では，プロセス単位やカーネルの特定機能に対しカーネル仮想記憶空間を構成する特定ページを排他的に参照可能とする動的ページ管理機構を提案する．Linux にて提案を実現し，攻撃耐性と有効性を評価し，考察を行う．

論文抄録(英)

内容記述タイプ

Other

内容記述

Operating System kernel has the sharing mechanism of kernel virtual memory for each user process. Some kernel features and processes store virtual CPU status or security policy on the kernel virtual memory (e.g., virtualization or container). An adversary's process compromised OS kernel via kernel vulnerability. It overwrites other process's data on the kernel virtual memory. Kernel virtual memory isolation methods separate the one kernel virtual memory to user mode, kernel mode, and system call invocation timing. Although these methods mitigate that an adversary's process occurs suspicious activity from user mode to kernel mode interaction, user processes have shared reference available pages on kernel virtual memory. In this paper, we propose a novel mechanism that provides an exclusive page reference feature. It enables that user process keeps domestic pages on the kernel virtual memory. It is implemented and evaluated on the latest Linux kernel, then discussion for kernel attack mitigation capability.

書誌レコードID

識別子タイプ

NCID

Versions

Ver.1

2025-01-19 21:03:41.090929

Show All versions

Cite as

エクスポート

OAI-PMH

JPCOAR
DublinCore
DDI

Other Formats

JSON
BIBTEX

インデックスリンク

インデックスツリー

アイテム

カーネル仮想記憶空間における排他的ページ参照によるカーネルの攻撃耐性の実現と評価

× 葛野, 弘樹

× 山内, 利宏

× Hiroki, Kuzuno

× Toshihiro, Yamauchi

Versions

Share

Cite as

エクスポート