ホストベース型侵入検知システムにおけるデータフロー解析を用いた異常検
知法の提案と評価
葛野 弘樹 (0551045)
近年,プログラムの脆弱性を利用した攻撃を防止するため,プログラムの正常な
挙動を表すモデルを作成し,監視時にモデルから逸脱していないかを検査する異
常検知法が注目されている.また,計算機システムに対する新たな脅威として制
御フローを変えないあふれ攻撃(NCFA)が注目されている.本研究では,NCFAに対
する新しい侵入検知法として,データフロー解析を用いた異常検知法を提案する.
提案法により,データフロー解析の一つである定義使用連鎖解析を用いて変数値
間の等価関係を獲得による検知精度の向上,さらに,攻撃対象操作をあらかじめ
指定し,それと交差する最内の定義使用連鎖だけを監視点とすることにより監視
による実行時オーバヘッドの削減が可能である.
また,提案法において,もし攻撃対象操作の指定が正しいならばポインタ変数を
含まない単純な手続き型プログラム(ミニ言語)に対する単一攻撃に対して,未検
知,誤検知のいずれをも起こさないことを証明した.
本発表では,提案法を紹介し,いくつかのプログラム例における監視点の削減結
果,ミニ言語における検知精度の証明,提案法を用いた検知システムによるNCFA
の検知実験の結果を順に説明する.