コールスタックの制御データ検査によるスタック偽装攻撃検知

冨永悠生; 樫山武浩; 瀧本栄二; 桑原寛明; 毛利公一; 齋藤彰一; 上原哲太郎; 國枝義敏

文献

J-GLOBAL ID：201202298416696817 整理番号：12A1398949

コールスタックの制御データ検査によるスタック偽装攻撃検知

Mimicry Attack Detection by Saving and Checking Control Data Stored on Call Stack

出版者サイト複写サービスで全文入手 {{ this.onShowCLink("http://jdream3.com/copy/?sid=JGLOBAL&noSystem=1&documentNoArray=12A1398949&COPY=1") }}
高度な検索・分析はJDreamⅢで {{ this.onShowJLink("http://jdream3.com/lp/jglobal/index.html?docNo=12A1398949&from=J-GLOBAL&jstjournalNo=Z0778B") }}

著者 (8件)： , , , , , , ,
資料名：
巻： 53 号： 9 ページ： 2075-2085 発行年： 2012年09月15日
JST資料番号： Z0778B ISSN： 1882-7837 資料種別：逐次刊行物 (A)
記事区分：原著論文発行国：日本 (JPN) 言語：日本語 (JA)

既存のホスト型侵入検知システムやコンパイラの拡張によるバッファオーバフローの検知では,検知システムを回避した攻撃が存在し問題となっている。我々は検知システムを回避する攻撃の1つであるスタック偽装攻撃に着目し,スタック偽装攻撃を検出することを目的としたこれまでにない侵入検知システムを新たに提案する。本システムでは,コールスタックに積まれたフレームポインタとリターンアドレスからなる制御データを検査し,制御データの書き換えを検知することでスタック偽装攻撃を防ぐ。関数呼び出し時に制御データをバッファオーバフローによる書き換えを受けないメモリ領域に退避させ,関数呼び出し元への復帰時に退避させた制御データとスタック上の制御データが一致するかを検査する。これにより,スタック偽装攻撃による不正な制御データの偽装を検知できる。提案手法を実装し,gzipとhttpdならびにwcを動作させた際,本提案による増加部分が全実行時間に占める割合は,それぞれ2.52%,71.09%,94.82%であった。(著者抄録)

, , , , , , , , , , , , ,
, , , ,

データ保護 , 言語プロセッサ

引用文献 (22件)：

[1] Forrest, S., Hofineyr, S., Somayaji, A. and Longstaff, T.: A Sense of Self for Unix Processes, Proc. IEEE Symposium on Security and Privacy (SP '96), pp.120-128, IEEE Computer Society (1996).
[2] Wagner, D. and Soto, P.: Mimicry attacks on host-based intrusion detection systems, Proc. ACM Conference on Computer and Communications Security (CCS '02), pp.255-264, ACM (2002).
[3] Kruegel, C., Kirda, E., Mutz, D., Robertson, W. and Vigna, G.: Automating mimicry attacks using static binary analysis, Proc. 14th Conference on USENIX Security Symposium (SSYM '05), pp.11-26, USENIX Association (2005).
[4] Yves, Y.: An overview of common programming security vulnerabilities and possible solutions, Master's thesis, Vrije Universiteit Brussel (2003).
[5] Shankar, U., Talwar, K., Foster, J. and Wagner, D.: Detecting format string vulnerabilities with type qualifiers, Proc. 10th Conference on USENIX Security Symposium (SSYM '01), pp.16-31, USENIX Association (2001).

, , , , ,

前のページに戻る