文献

J-GLOBAL ID：200902232387705333   整理番号：09A0989703

危険なシステムコールに着目したWindows向け異常検知手法

Detecting Anomalies on Windows Focused on Dangerous System Call

著者 (2件)： 伊波靖 (沖縄工高専) ,  高良富夫 (琉球大 工)
資料名： 情報処理学会論文誌ジャーナル(CD-ROM)  (情報処理学会論文誌 論文誌ジャーナル(CD-ROM))
巻： 50  号： 9  ページ： 2173-2181  発行年： 2009年09月15日 
JST資料番号： Z0778B  ISSN： 1882-7837  資料種別： 逐次刊行物 (A)
記事区分： 原著論文  発行国： 日本 (JPN)  言語： 日本語 (JA)

抄録/ポイント： 近年,不正なプログラムの感染および拡大方法の多様化と伝搬速度の高速化により,シグネチャによる不正プログラム対策ソフトウェアの限界が議論され,プログラムの振舞いに基づくビヘイビア型異常検知システムがさかんに研究されている。しかし,ビヘイビア型異常検知システムでは,高い検知率を得ることにともなうFalse Positiveの割合を減少させることが課題となっている。本論文では,Windowsにおいてシステムの資源に影響を与える危険なシステムコールに着目した異常検知手法を提案する。提案方式は,まず,OSが管理する重要な資源に影響を与えるクリティカルなシステムコールを,不正なプログラムの振舞いから定義したシステムコールと引数によるルールを用いて検知する。次に,それ以前に発行されたシステムコールの履歴からSupport Vector Machine(SVM)を用いて,検知したクリティカルなシステムコールが不正なプログラムによって発行された危険なシステムコールかどうかを識別することで異常を検知する。我々は,提案方式に基づくプロトタイプシステムを開発し,現実的な不正なプログラムおよび通常のプログラムを用いて実験を行った。実験では,提案方式の検知能力とFalse Positiveの割合について評価を行った。(著者抄録)

シソーラス用語： *コンピュータセキュリティ ,  検出 ,  Windows ,  オペレーティングシステム ,  *サポートベクトルマシン ,  プロトタイプ ,  評価試験 ,  システム評価 ,  監視制御システム ,  誤検出 ,  異常検出 ,  行為
準シソーラス用語： システムコール ,  フォールスポジティブ ,  異常検知

分類 (2件)： データ保護  (JD01020V) ,  人工知能  (JE08000Z)

引用文献 (16件)：

• 情報処理推進機構: 未知ウイルス検出技術に関する調査.http://www.ipa.go.jp/security/fy15/reports/uvd/index.html
• eWeek: IE Under Attack: Microsoft Ponders Emergency Patch (2006).http://www.eweek.com/article2/0, 1895, 1942566, 00. asp
• Forrest, S., Hofmeyr, S. A., Somayaji, A. and Longstaff, T. A.: A sense of self for Unix processes, IEEE Symposium on Security and Privacy, pp. 120-128(1996).
• Sekar, R., Bendre, M., Dhurjati, D. and Bollineni, P.: A Fast Automaton-Based Method for Detecting Anomalous Program Behaviors, IEEE Symposium on Security and Privacy, pp. 144-155(2001).
• Feng, H. H., Kolesnikov, O. M., Fogla, P. and W. Lee, W. G.: Anomaly Detection Using Call Stack Information, IEEE Symposium on Security and Privacy, pp. 62-75(2003).

タイトルに関連する用語 (5件)： システムコール ,  着目 ,  Windows ,  異常検知 ,  手法