図8/F の概要 高精度侵入検知システム
第三に の解析結果を利用した高精度侵入検知システムが考えられる.
現在,:によって検知した攻撃コードが+で被害を起こしたかどうかを調 べることで,:の誤検知を削減し,高精度な侵入検知を行う研究がなされてい るB/8!78!74C.例えば,著者らが提案した B74Cでは,:が検知した 攻撃が成功した際にサーバが起こす振る舞いを+に通知し,+が通知され た振る舞いと同じ振る舞いを検知することで,:の誤検知を削減するシステム である. の概要を図8/に示す.現在の では攻撃が成功した 際にサーバが起こす振る舞いをあらかじめ定義しておかなければならない.この ため,攻撃者が任意の攻撃コードを挿入する可能性のある攻撃では:の誤検 知を削減できない.そこで, を と組み合わせ,:が攻撃を 検知したときに攻撃コードの振る舞いを解析し,その結果を+に通知するよ うにする.これにより, の欠点が解消され,さらに高精度な侵入検知シ ステムが作成できると考えられる.
!
今後の振る舞い解析
によって,現在使われている攻撃コードのかなりの部分を解析できる ようになった.しかし,今後,振る舞い解析の手法がさらに発展していくと,攻撃 者は振る舞い解析をされることを前提とした攻撃コードを作成してくると考えら れる.例えば,攻撃コードが 呼び出しやシステムコール呼び出しを難読化し,
攻撃コードの意図を解析者に理解されないようにすることが考えられる.具体的に は,攻撃コードとしての意味を持たない 呼び出しを大量に行い,その間に実 際の攻撃コードの 呼び出しを含めるような形にすることが考えられる.現在 の攻撃コードの難読化技術では,そのようなことを自動的に行うものはないB2/C. しかし,攻撃者が振る舞い解析をされることを前提とした場合,このような難読 化を行った攻撃コードを作成してくることは十分に考えられる.
そこで,今後の振る舞い解析では,このような難読化に対応できるよう,より人 間に理解しやすいレベルでの振る舞い解析を行わなければならない.例えば,振 る舞い解析によって得られた命令列・ コール列から,攻撃コードがシステム に及ぼす影響をわかりやすく提示する手法について研究する必要があると考えら れる.
謝辞
本論文は著者が慶應義塾大学大学院理工学研究科開放環境科学専攻の博士課程 に在籍中の研究成果をまとめたものです.本研究を進めるにあたって,また本論 文の執筆にあたって,多くの方々からご指導とご協力を賜りました.お世話になっ た全ての方々に深く感謝いたします.
まず,本論文の主査であり,著者の指導教員である慶應義塾大学理工学部情報 工学科 河野健二准教授に深く感謝いたします.河野准教授には著者が学部1年生 の頃から3年間の長きにわたって,研究の進め方,論文の執筆方法,プレゼンテー ションの方法など,終始丁寧な指導を頂きました.また,国内有数の非常に恵ま れた研究環境を利用させて頂きました.心より感謝いたします.
次に,本論文の副査である,慶應義塾大学理工学部情報工学科 天野英晴教授,
重野寛准教授,高田眞吾准教授に感謝いたします.副査の皆様にはお忙しい中を 縫って,本論文を丁寧に査読していただき,多数の有益なコメントを頂きました.
ここに深く感謝の意を表します.
また,電気通信大学情報工学科 岩崎英哉教授には,著者が電気通信大学情報工 学科,および同学大学院電気通信学研究科情報工学専攻 在籍時に研究の進め方を ご指導いただきました.感謝いたします.
慶應義塾大学情報工学科 山田浩史特別研究助教には研究に関する様々な議論に お付き合い頂きました.感謝いたします.また,慶應義塾大学情報工学科 河野研 究室の皆様,および電気通信大学情報工学科 岩崎研究室の皆様に感謝いたします.
研究室での楽しかった日々は一生の思い出です.また,著者のプログラミング能 力を伸ばすきっかけを作ってくれた電気通信大学A3466同好会の皆様に感謝いた します.
本研究の研究を進めるに当たって使用した実験機材の一部,および本研究の原 著論文の発表にあたっては,科学技術振興機構D$による支援を頂きました.
また,慶應義塾先端科学技術研究センターのK99後期博士課程研究助成金から本 研究に対する支援を頂きました.感謝いたします.
最後に,経済的な支援を惜しまず,著者をこれまで暖かく見守ってくれた両親 と弟に深く感謝します.
論文目録
定期刊行誌掲載論文
嶋村 誠,河野 健二!? LFメモリスキャン攻撃を組み込んだ攻撃コード の振舞い解析@!情報処理学会論文誌コンピュータシステム! 0!:1= D
04>!14E32!0667
嶋村 誠,河野 健二!? F攻撃の疑似実行による攻撃メッセージの振舞 いの解析@!情報処理学会論文誌! 56!:7!028/E024/!0667
定期刊行誌掲載論文
"その他の論文
#"!"+"!#K<K!?' '
-# #- @!
! 7/!:4!031E083!'0664
嶋村 誠,河野 健二!?ネットワークタイムスタンプによるリモート仮想マシン モニタ検出@!情報処理学会論文誌! 56!:4!/486E/440! 0667
国際会議論文
O"#K<K!? F:%" #
* "@! !"
# $ % &# %
'()*!I 0667
O"#K<K!?, "$#'
:%"@! !++
& '("*!243E272!I0663
国内学会発表
O嶋村 誠,河野 健二!? Fメモリスキャン攻撃を利用した攻撃コード の振る舞い解析@!情報処理学会システムソフトウェアとオペレーティングシ ステム研究報告=0667;///>! 0667
O嶋村 誠,河野 健二,?攻撃メッセージのエミュレーションを利用した振る舞 いの解析@!コンピュータセキュリティシンポジウム0664!342E344!;
0664=学生論文賞受賞論文>
参考文献
B/C 経済産業省「平成19年度我が国のIT利活用に関する調査研究」(電子商 取引に関する市場調査)の結果公表について7>66=6
6-6--:! 0664
B0C 戦略本部政策ロードマップ7>66::=66 6 766:6:!I0664
B2C D"! ' I! # M #F
##! #! ## !
,!-.!27E11!I 0665
B1C # $# # :" ' ,## :%"9
- /% 01 '("!07/E260!;
0663
B5C # D#$#F # ##
% / 2 % 01 .
= .'(2>!082E041!: 0660
B3C # ! ! ! D ! #!
# : ) # ) / 2((3
4= $ '(3>!22E27!I 0662
B8C - 64638 D F
D # %$D#=754311> 7>66
:6766 6(#4<!
;0664
B4C !+#!##% D&".
9 # $#* 7>666%:6!
'0667
" 696-646F-; )%6
1)-9-946!I0667
B/6C : D&" % " P7/
7>66= 6:6
--::9- !
0667
B//C ' D F 7>66
:66= 7 !: 0662
B/0C H H! ! # %! '! # )" 9
-+F % D
/+" ! 0668
B/2C I'" ! ! #! # (
:#D ) / +5
% = '(6>!285E
244!;0668
B/1C D D 7>66=6
6 6 :!0668
B/5C $ F9%:%" /
+3 7 %=8 %'))>!007E024!
/777
B/3C -F#%"#
! 2/!:02E01!0125E0132!/777
B/8C 9! K)! K!# I '9F
+# # /9
,%4#=,%#'(:>!40E/6/!0665
B/4C $ 7>666
D" $D$7268/!#,
!: /772
B06C +! '! # <
,(D ; ! 3!/5/E
/46!/774
B0/C : # K #I "" 7>66
7=6!/778
B00C H&" # # $ -#
/ +( %
# =# '(3>!/7/E063!'0662
B02C D 9!$< !-"!DD !K
!#I+ ,#D /
+3 !027E051! 0665
B01C K% F & 7>66
7=66 67 !I0662
B05C : +'%" /+3
!/E/1! 0661
B03C -! " K! + *! ! # '
' : F & D %
/) ,%4#
=,%#'(">!/35E/41!0663
B08C - ! D"! 'I!I:*!# #)
F # - "
/ +2 % #
=# '(:>!'0665 = >
B04C I!I!+ I)! !#H "
'# $ D# < / " %
01 = '(">!52E31!;0663
; G% D# / %, %
-! !27E52!0661
B26C #! #% D "! H ! -# *! # I
M '%":%"#D#< "
)#% # ,:A / 2+ %
%=% %'(:>!17E54!0665
B2/C K -#! "! # "M " F
* D# / 23% %
=% %'(6>!56/E5/1!0668
B20C I :% # %
! !#H D#%
/+2%#
=# '(:>!'0665 = >
B22C "! K H "! # "
:%"9 # , /
3 # < < %
=# %'(">!51E82!I 0663
B21C "! K H "! # "
-# : # #
/ +( ,%4 #
=,%#'(6>!48E/63!0668
B25C "!KH "!# "
# $ % # D# < " /
2 . 8! ! =8
'()>! 0667 = >
B23C QM! $ !:!#
*:%"& D# /
2% %% <
=% % '(6>!1E/0!0668
6!0665
B24C < 7>66 6
B27C ; " # & 7>667=6
7 MH9NH-!: /773
B16C $ )'#$'"; % 7>
66:6 6-<!I0666
B1/C $ ;99 0 #D K$-; G%
7>66:6 6;4!I 0660
B10C # DK -; G%
# / : ,
%4#=,%#'(2>!081E07/!;0660
B12C 9 % G%'0650#7#''2666#7
7>66 =6 =.6<6$6-!;0668
B11C FB" CF 7>66=6
7 6
B15C D!IA!D*!H!#$ "K:
D " $ / +3
!/88E/70! 0665
B13C $ . 0.$-; G% 7>
66:6 6<9! 0662
B18C #9*!!#)"9KF
K %- / +"% #
=# '()>!'0667
B14C # ! D K ! # K#
% / 2((6
4= $ '(6>!02/E015!0668
:6 6 6!0660
B56C +$ 7>66766
B5/C -<%*!!#H #%
D#$ # /).!,4!
!=.,'(2>!15E51!;0660
B50C D K ! ) $! '#" ! # H
;#- / +3
!055E086! 0661
B52C $ ! + ! # ! $ ##! # )" 9
,"F +##D#,"
% / 22 % %
=% %'(">!047E266!0663
B51C ! , ! ! #
,##" # , 7>
667=67 MH4-NH9! 0662
B55C K0 7>666/(=C!
0668 = >
B53C H : #R 7>66
=66 !I 0665
B58C # ID#7>66=: 7 6
7 !0663
B54C : ' )#% $ 7>66
:6:6-9!0668
B57C K) # I #-#:%"
/ 6 , %4
#=,%#'(5>!062E000!0661
-; G% "- " /+:
!005E016!0663
B3/C $# %"#
% /+(%
= '(3>!030E08/!0662
B30C H #! ! "!
"!## HF+:%"
,H /++
,%4 #=,%#'(9>! //3E/21!
0664
B32C H #! "! !
"!## $ H+#
% /+2 ,
%4#=,%#'()>!035E042!0667
B31C D K# I D% +D D
, + % 01
,4! 21!5/E53!0661
B35C ! D! H! # #
)' /" 1! #!
=1 #'(5>!15E36!0661
B33C : 7>6666
B38C # # L % 7>
66666 6
67
B34C 9 # % 7>66 :6
B37C : #% % # 7>66
76
D $F 9#
$ / : 1! #!
=1 #'(2>!0//E001!0660
B8/C ! I ! I D! # ! " #"! D
!H "!# !'# #D
" +& /2(%
1! = 1 '(:>!/14E/30!;0665
B80C I##$D# #'#D F D "
; # /36
= ,1'(5>!00/E020!0661
B82C - 6265/F - ;
' D # % D#
7>66:6766 6
(#;-!: 0662
B81C -* * # #
7>66:6663/6
F C# /6!0667
B85C D 9#; D# $
/+(%
= '(3>!076E077!;0662
B83C DD#KIH -
! 05!:8!4//E407!I /775
B88C A I # A ) ?;@ #
+ + / +(
,%4#=,%#'(6>!0668
B84C I # H*S * D ##
9 / 5
/774
B87C <9#7>66 =6
66 -;
=C!0663
B46C ' 7>66:6
B4/C # -"! D ! #$ " ## ;F
& D-#$ /
+2 !/65E/06! 0662
B40C A A : T 7>66
=66!0662
B42C # 9& # " # G%
)#% 0662 7>66=:
66:=:!
0662 = >
B41C - 243
' # 7>666 66
4:!/778
B45C DD#!<H!% %"! #9 !#%$
AF H /+3%
= '(">!200E225!
;0663
B43C I # $ : ,%8 %=
!0665
B48C $ D -# 4 - ; G%
7>66:6 6!I066/
B44C $ )'# ' H + D 7>66
:6 6;-!: 066/