Yataglass:攻撃の擬似実行による攻撃メッセージの振舞いの解析

書誌事項

タイトル別名
  • Yataglass: Network-level Attack Behavior Analysis with Emulated Execution

この論文をさがす

抄録

バッファオーバフロー攻撃に代表されるリモートコードインジェクション攻撃が大きな問題となっている.このような攻撃を検知するため,近年ではメッセージ中に機械語命令列に相当するバイト列が含まれているかどうかを検査するネットワーク侵入検知システム(NIDS)が提案されている.しかし,これらのシステムでは検知した攻撃コードが実際にサーバ上でどのように振る舞うかは分からない.このため,NIDSが攻撃を検知すると,管理者は適切な対策をとるため,人手で攻撃コードの振舞いを調査しなければならない.本論文では攻撃メッセージを解析し,攻撃コードの振舞いを抽出するシステムであるYataglassを提案する.Yataglassでは,NIDSが検知したメッセージを機械語命令列と見なして擬似的に実行し,攻撃が成功したときに実行されるシステムコール列を抽出する.実際にIntel x86アーキテクチャのLinuxおよびWindowsに対する攻撃メッセージを対象としたYataglassのプロトタイプを作成し,実験を行った.実験の結果,Sambaを対象とする攻撃メッセージや,Metasploit Frameworkから生成された攻撃メッセージが実行するシステムコールを抽出することができた.

Remote code injection attacks such as buffer-overflow attacks are still one of the most serious attacks on computer systems. Current researchers focus on network intrusion detection systems (NIDSs) to detect anomal byte sequences such as machine instructions in network messages. However, such systems do not analyze behaviors of detected attacks and thus the administrator must find damage on her server when her NIDS detects an attack. In this paper, we propose a network message analyzer called Yataglass which executes attack code in an emulated environment. Yataglass treats the byte stream of a detected message as machine instructions and analyzes them to reveal behaviors of the attack code (i.e., which system calls the attack issues). Experimental results show that Yataglass successfully generated a list of system calls issued by a real attack message for Samba server and polymorphic attacks generated by the Metasploit Framework.

収録刊行物

キーワード

詳細情報 詳細情報について

  • CRID
    1050282812874830848
  • NII論文ID
    110007970519
  • NII書誌ID
    AN00116647
  • ISSN
    18827764
  • Web Site
    http://id.nii.ac.jp/1001/00066486/
  • 本文言語コード
    ja
  • 資料種別
    journal article
  • データソース種別
    • IRDB
    • CiNii Articles

問題の指摘

ページトップへ