プロフィール

大山恵弘

  • Author:大山恵弘
  • 公式なサイトはこちら

最近の記事

最近のコメント

最近のトラックバック

月別アーカイブ

ブロとも申請フォーム

ブログ内検索

RSSフィード

リンク

FC2カウンター

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

【ストレージ】 Self-Securing Storage: Protecting Data in Compromised Systems 【セキュリティ】

In OSDI 2000.
http://www.usenix.org/events/osdi2000/strunk.html

攻撃対策機能を内包したストレージSelf-Securing Storage。
不正なファイル改ざんなどを発見して元に戻すなどの処理をするための機能が入っている。

といってもやることは単純で、要求を全部記録するような、log-structuredなストレージにするってこと。記録を利用して管理者は攻撃解析やリカバリを行ってくださいと。

このストレージはOSを信用しない。従来のOSレベルでの攻撃対策は、OSが乗っ取られたら、無力化やバイパスされてしまうことが普通だった。このストレージを使うと、たとえOSを乗っ取っても、バイパスすることは難しい。

どうやって攻撃と判断するかなどの運用面は主眼ではなく、性能オーバヘッドを小さくするという技術チャレンジに主眼があるようだ。確かにオーバヘッドはそれほど大きくない。

それより記録量が爆発してディスクがあふれることが心配になる。本論文によると、他の研究では、一日百数十MBを消費するとの報告があるという。なるほどこの程度なら、100GBを準備すれば500日はもつ。



スポンサーサイト

【異常検知】 Anomalous System Call Detection 【統計的手法】

In ACM Transactions on Information Systems Security, 9(1), 2006.
http://www.cs.ucsb.edu/~vigna/publications/

システムコール列に統計的な手法を適用して異常検知する新しい方法の提案。Forrestの論文から12年。2006年もまだこの手の研究は続いてますよ!

ポイントは、複数の検知手法を組み合わせて、システムコールの引数を検査するってこと。複数の手法を使うことにより、精度が上がる。複数の手法から得られた各異常スコアを全体異常スコアとしてまとめ、それにもとづいてイベントが攻撃かどうかを判断する。

複数の異常スコアを単に重み付けして加算するだけではうまくいかないので、ベイジアンネットワークを利用する(!)。

定石通り地道にやるべきことをやってジャーナルに通したって感じの論文。それにしても、この論文タイトルは何というか。ううむ。

【仮想化】 A Feather-weight Virtual Machine for Windows Applications 【Windows】

In VEE '06
http://www.ecsl.cs.sunysb.edu/fvm/index.html

Windows上でSoftwarePotのようなFreeBSD jailのようなSolaris ContainersのようなLinux VServerのようなものを実現.

資源はcopy-on-writeで複製するので省資源ですむ。このへんはAlcatrazにも似ている。

仮想環境はsystem callの仮想化によって実現。Windowsなのでptraceやら/procやらは使えない。SSDT patchingとIAT書き換えでsystem callをフック。

LinuxなどのUNIXでこの手の話が出てきたら、やや「またか!」という気分にもなるが、Windowsでやった点がなかなか興味深い。

| ホーム |


 BLOG TOP 


上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。