| Item type |
Journal(1) |
| 公開日 |
2020-09-15 |
| タイトル |
|
|
タイトル |
SELinux CILを利用した不要なセキュリティポリシ削減手法 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Method to Reduce Redundant Security Policy Using SELinux CIL |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
[特集:実社会を支える暗号・セキュリティ・プライバシ技術] SELinux,セキュリティポリシ,SELinux CIL,強制アクセス制御,最小特権 |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_6501 |
|
資源タイプ |
journal article |
| ID登録 |
|
|
ID登録 |
10.20729/00206801 |
|
ID登録タイプ |
JaLC |
| 著者所属 |
|
|
|
岡山大学大学院自然科学研究科 |
| 著者所属 |
|
|
|
岡山大学大学院自然科学研究科 |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Natural Science and Technology, Okayama University |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Natural Science and Technology, Okayama University |
| 著者名 |
齋藤, 凌也
山内, 利宏
|
| 著者名(英) |
Ryoya, Saito
Toshihiro, Yamauchi
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
SELinuxを利用する際,個々のシステムには必要のない権限が許可されている汎用的なセキュリティポリシを利用する場合が多い.そこで,我々は,汎用的なポリシから不要なポリシを削減する手法を提案した.しかし,従来手法は,ポリシのソースファイルがない場合は適用不可であり,アトリビュートを含むポリシに対応していない.また,ログ収集とポリシ削減期間において,同一ポリシにより許可されたアクセスのログが出力され続け,オーバヘッドが大きい.さらに,baseモジュール内の不要なポリシを削減できない.本論文では,これらの問題に対処するため,従来手法を拡張した手法を提案する.提案手法では,中間言語であるSELinux CILで記述されたファイルに着目し,ポリシを削減する.また,アトリビュートを考慮し,細粒度でポリシを削減する.さらに,1度変換されたポリシに関するauditallowをポリシから削減することで,オーバヘッドを抑える.最後に,typeattributesetを置き換えることで,baseモジュールに変更を加えずに不要なポリシを削減する.本論文では,ポリシ削減の評価やApache Struts2の脆弱性を用いた攻撃防止実験により,提案手法の有効性を示す. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Application of SELinux involves incorporating a general security policy that permits redundant privileges for individual systems. Hence, we previously proposed a method that eliminates redundant policies from the general policy. However, the said method cannot be applied when there is no policy source file or policies include an attribute that is not supported. During eliminating policies period, the log of access permitted by a particular policy is continually produced as an output, and the associated overhead is large. Furthermore, redundant policies in the base module cannot be eliminated. To address these issues, we propose a new method that extends the previously proposed method. The new method involves the processing of files written in SELinux CIL (an intermediate language) for eliminating redundant policies. Additionally, the new method considers attributes and eliminates policies with fine granularity. The overhead is reduced by eliminating the auditallow statement associated with the policy once converted to the policy format from the policy. Furthermore, by replacing the typeattributeset statement, redundant policies can be eliminated without modifying the base module. In this study, the effectiveness of our method is demonstrated through evaluation of policy elimination and through an attack prevention experiment by incorporating the vulnerabilities in Apache Struts2. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AN00116647 |
| 書誌情報 |
情報処理学会論文誌
巻 61,
号 9,
p. 1519-1530,
発行日 2020-09-15
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
1882-7764 |
IPSJ-JNL6109021.pdf (1.2 MB)
