| 講演名 | 2008-07-24 Code injection検出のためのVMMスナップショット機能の強化 安藤 類央, 門林 雄基, 篠田 陽一, |
|---|---|
| PDFダウンロードページ |  PDFダウンロードページへ |
| 抄録(和) | VMM(仮想マシンモニタ)は、従来のダンプやデバッグツールと比較して、対象となるOS、仮想マシンの外部観測を容易にすることを可能にした。コードインジェクション攻撃は、ユーザの実行するプログラムに、任意の悪意のあるコードを挿入することで、意図せざる結果や影響をシステムに及ぼす手法である。コードインジェクション攻撃のプログラムは、汎用のウィルススキャナでのシグニチャの解析を用いて行うことが難しいことが多く、プロアクティブと呼ばれるような振る舞い検知が行われる場合が多い。本論文では、APIフックなどを行うイベント検出モジュールに、VMMへパラメータの受け渡しを行う通知関数を追加することで、コードインジェクションが行われた際に、即時的に攻撃コードのあるメモリの部分のみのスナップショットを取得するためのシステムを提案する。 |
| 抄録(英) | VMM (Virtual Machine Monitor) provide a more fine grained external observability of virutal machine compared with previous operating system and debug tool inside operating system. In this paper we propose an enhancement of snapshot of VMM for detecting code injection attacks. In code injection attacks, attacker inserts arbitrary byte which causes bad effects and result for target system. For detecting code injection attacks, it is hard to apply singnature matching. Instead, behavior based detection such as proactive is applied. In propsed system, notification routine for VMM is inserted to API hool module in virtualized host OS. By doing this, we can take a snapshot of part of memory attacked (infected) just when code injection is occurred. |
| キーワード(和) | |
| キーワード(英) | |
| 資料番号 | ISEC2008-34,SITE2008-28 |
| 発行日 |
| 研究会情報 | |
| 研究会 | SITE |
|---|---|
| 開催期間 | 2008/7/17(から1日開催) |
| 開催地(和) | |
| 開催地(英) | |
| テーマ(和) | |
| テーマ(英) | |
| 委員長氏名(和) | |
| 委員長氏名(英) | |
| 副委員長氏名(和) | |
| 副委員長氏名(英) | |
| 幹事氏名(和) | |
| 幹事氏名(英) | |
| 幹事補佐氏名(和) | |
| 幹事補佐氏名(英) | |
| 講演論文情報詳細 | |
| 申込み研究会 | Social Implications of Technology and Information Ethics (SITE) |
|---|---|
| 本文の言語 | JPN |
| タイトル(和) | Code injection検出のためのVMMスナップショット機能の強化 |
| サブタイトル(和) | |
| タイトル(英) | An enhancement of VMM snapshot utility for detecting code injection |
| サブタイトル(和) | |
| キーワード(1)(和/英) | |
| 第 1 著者 氏名(和/英) | 安藤 類央 / Ruo Ando |
| 第 1 著者 所属(和/英) | 独立行政法人情報通信研究機構情報通信セキュリティ研究センター National Institute of Information and Communication Technology, Tracable Network Group |
| 第 2 著者 氏名(和/英) | 門林 雄基 / Youki Kadobayashi |
| 第 2 著者 所属(和/英) | 独立行政法人情報通信研究機構情報通信セキュリティ研究センター National Institute of Information and Communication Technology, Tracable Network Group |
| 第 3 著者 氏名(和/英) | 篠田 陽一 / Youichi Shinoda |
| 第 3 著者 所属(和/英) | 独立行政法人情報通信研究機構情報通信セキュリティ研究センター National Institute of Information and Communication Technology, Tracable Network Group |
| 発表年月日 | 2008-07-24 |
| 資料番号 | ISEC2008-34,SITE2008-28 |
| 巻番号(vol) | vol.108 |
| 号番号(no) | 160 |
| ページ範囲 | pp.- |
| ページ数 | 6 |
| 発行日 | |