@article{oai:ipsj.ixsq.nii.ac.jp:00083926,
 author = {冨永, 悠生 and 樫山, 武浩 and 瀧本, 栄二 and 桑原, 寛明 and 毛利, 公一 and 齋藤, 彰一 and 上原, 哲太郎 and 國枝, 義敏 and Yuuki, Tominaga and Takehiro, Kashiyama and Eiji, Takimoto and Hiroaki, Kuwabara and Koichi, Mouri and Shoichi, Saito and Tetsutaro, Uehara and Yoshitoshi, Kunieda},
 issue = {9},
 journal = {情報処理学会論文誌},
 month = {Sep},
 note = {既存のホスト型侵入検知システムやコンパイラの拡張によるバッファオーバフローの検知では，検知システムを回避した攻撃が存在し問題となっている．我々は検知システムを回避する攻撃の1つであるスタック偽装攻撃に着目し，スタック偽装攻撃を検出することを目的としたこれまでにない侵入検知システムを新たに提案する．本システムでは，コールスタックに積まれたフレームポインタとリターンアドレスからなる制御データを検査し，制御データの書き換えを検知することでスタック偽装攻撃を防ぐ．関数呼び出し時に制御データをバッファオーバフローによる書き換えを受けないメモリ領域に退避させ，関数呼び出し元への復帰時に退避させた制御データとスタック上の制御データが一致するかを検査する．これにより，スタック偽装攻撃による不正な制御データの偽装を検知できる．提案手法を実装し，gzipとhttpdならびにwcを動作させた際，本提案による増加部分が全実行時間に占める割合は，それぞれ2.52%，71.09%，94.82%であった．, There are many methods to detect buffer overflow using host-based intrusion detection systems or compiler extensions. Some attacks, however, can avoid these defense systems. One of such attacks is “mimicry attack”. In this paper, we propose a new intrusion detection system focusing on mimicry attack. Our system detects invalid control data (frame pointer and return address on call stack) overwritten by mimicry attack. This detection method consists of saving and checking processes. The saving process, which is invoked when entering every functions, saves control data to the invulnerable memory area. The checking process, which is invoked when exiting any functions, compares the saved and real control data. We have implemented this proposed system and evaluated its time overhead. The percentage of the processing time for this proposed method in each total execution time of gzip process, httpd and wc are 2.52%, 71.09% and 94.82% respectively.},
 pages = {2075--2085},
 title = {コールスタックの制御データ検査によるスタック偽装攻撃検知},
 volume = {53},
 year = {2012}
}