| Item type |
Journal(1) |
| 公開日 |
2024-09-15 |
| タイトル |
|
|
タイトル |
仮想計算機モニタによる複数OSに対応したシステムコール検知箇所推定手法 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Estimation Method of System Call Hook Point for Multiple OSes by Virtual Machine Monitor |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
[特集:サプライチェーンを安全にするサイバーセキュリティ技術] システムコール,仮想計算機モニタ,OS,メモリ解析 |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_6501 |
|
資源タイプ |
journal article |
| ID登録 |
|
|
ID登録 |
10.20729/00239255 |
|
ID登録タイプ |
JaLC |
| 著者所属 |
|
|
|
岡山県立大学大学院情報系工学研究科 |
| 著者所属 |
|
|
|
岡山県立大学情報工学部 |
| 著者所属 |
|
|
|
岡山大学学術研究院環境生命自然科学学域 |
| 著者所属 |
|
|
|
岡山大学大学院環境生命自然科学研究科 |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Computer Science and Systems Engineering, Okayama Prefectural University |
| 著者所属(英) |
|
|
|
en |
|
|
Faculty of Computer Science and Systems Engineering, Okayama Prefectural University |
| 著者所属(英) |
|
|
|
en |
|
|
Faculty of Environmental, Life, Natural Science and Technology, Okayama University |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Environmental, Life, Natural Science and Technology, Okayama University |
| 著者名 |
大森, 卓
佐藤, 将也
山内, 利宏
谷口, 秀夫
|
| 著者名(英) |
Taku, Omori
Masaya, Sato
Toshihiro, Yamauchi
Hideo, Taniguchi
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
仮想計算機モニタによるシステムコールの検知において検知箇所のアドレスは,OSバージョンの更新により再計算が必要となる.また,アドレス空間のランダム化によりカーネル起動処理前に計算できない.我々はこれまでに,x86-64のCPUで動作するLinuxを対象に,カーネル起動処理前の計算によらず,ゲストOSのメモリ解析により検知箇所を推定する手法を提案した.本稿では,複数OSに対応した推定手法の実現を目的とし,FreeBSD,NetBSD,およびOpenBSDにおいても検知箇所を推定する手法について述べる.複数OSへの対応における3つの課題を示し,これらに対処する.1つ目の課題は,ページテーブルの切替えであり,SWAPGS命令とCR3切替え命令を探索対象に加えることにより,セグメント切替えとページテーブル切替えを考慮し探索する.2つ目の課題は,検知箇所として用いる命令の決定であり,探索対象の命令の種類を拡大し,かつ,オペランドを含めた探索を行うことにより,誤推定を抑制する.3つ目の課題は,エントリポイントから連続する処理の外におけるスタック切替えであり,エントリポイントから連続するメモリ領域の外でスタック切替えが実行されることを考慮して,探索対象の命令の順序を決定し,検知箇所を推定する.また,評価により,提案手法の有効性を示す. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
For monitoring system calls by a virtual machine monitor, the monitoring program needs to recalculate the hook point address due to changes of system call processing or address space layout randomization. For example, OS updates may change the processing of system calls and the address space layout randomization changes the starting address in each boot. We previously proposed a method to estimate a hook point in Linux by memory analysis on x86-64 CPUs rather than pre-calculation. In this paper, we extend our previous method to FreeBSD, NetBSD, and OpenBSD. The first challenge is page table switching. We search instructions considering segment switching and page table switching. The second challenge is determination of the instruction to be used as the hook point. We suppress misestimation by expanding the types of instructions to be searched for and including operands. The third challenge is stack switching outside of consecutive processes from the entry point. We determine the order of instructions to be searched, considering that the stack switching is executed outside contiguous memory from the entry point. The verification results show that the proposed method estimates hook points on various OSes with small overhead and no misestimation. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AN00116647 |
| 書誌情報 |
情報処理学会論文誌
巻 65,
号 9,
p. 1374-1385,
発行日 2024-09-15
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
1882-7764 |
| 公開者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-JNL6509021.pdf (1.8 MB)
