Yataglass:攻撃の擬似実行による攻撃メッセージの振舞いの解析
書誌事項
- タイトル別名
-
- Yataglass: Network-level Attack Behavior Analysis with Emulated Execution
この論文をさがす
抄録
バッファオーバフロー攻撃に代表されるリモートコードインジェクション攻撃が大きな問題となっている.このような攻撃を検知するため,近年ではメッセージ中に機械語命令列に相当するバイト列が含まれているかどうかを検査するネットワーク侵入検知システム(NIDS)が提案されている.しかし,これらのシステムでは検知した攻撃コードが実際にサーバ上でどのように振る舞うかは分からない.このため,NIDSが攻撃を検知すると,管理者は適切な対策をとるため,人手で攻撃コードの振舞いを調査しなければならない.本論文では攻撃メッセージを解析し,攻撃コードの振舞いを抽出するシステムであるYataglassを提案する.Yataglassでは,NIDSが検知したメッセージを機械語命令列と見なして擬似的に実行し,攻撃が成功したときに実行されるシステムコール列を抽出する.実際にIntel x86アーキテクチャのLinuxおよびWindowsに対する攻撃メッセージを対象としたYataglassのプロトタイプを作成し,実験を行った.実験の結果,Sambaを対象とする攻撃メッセージや,Metasploit Frameworkから生成された攻撃メッセージが実行するシステムコールを抽出することができた.
Remote code injection attacks such as buffer-overflow attacks are still one of the most serious attacks on computer systems. Current researchers focus on network intrusion detection systems (NIDSs) to detect anomal byte sequences such as machine instructions in network messages. However, such systems do not analyze behaviors of detected attacks and thus the administrator must find damage on her server when her NIDS detects an attack. In this paper, we propose a network message analyzer called Yataglass which executes attack code in an emulated environment. Yataglass treats the byte stream of a detected message as machine instructions and analyzes them to reveal behaviors of the attack code (i.e., which system calls the attack issues). Experimental results show that Yataglass successfully generated a list of system calls issued by a real attack message for Samba server and polymorphic attacks generated by the Metasploit Framework.
収録刊行物
-
- 情報処理学会論文誌
-
情報処理学会論文誌 50 (9), 2371-2381, 2009-09-15
- Tweet
キーワード
詳細情報 詳細情報について
-
- CRID
- 1050282812874830848
-
- NII論文ID
- 110007970519
-
- NII書誌ID
- AN00116647
-
- ISSN
- 18827764
-
- Web Site
- http://id.nii.ac.jp/1001/00066486/
-
- 本文言語コード
- ja
-
- 資料種別
- journal article
-
- データソース種別
-
- IRDB
- CiNii Articles