FC2ブログ

プロフィール

大山恵弘

  • Author:大山恵弘
  • 公式なサイトはこちら

最近の記事

最近のコメント

最近のトラックバック

月別アーカイブ

ブロとも申請フォーム

ブログ内検索

RSSフィード

リンク

FC2カウンター

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

【異常検知】 Detecting Malicious Software by Monitoring Anomalous Windows Registry Accesses 【Windows】

In RAID 2002.
http://www1.cs.columbia.edu/ids/publications.html

Windowsのレジストリアクセス挙動を学習。その学習データをもとに異常検知する。部分イベント列の集合やイベントオートマトンで挙動を特徴化するのではなく、各イベントがどの程度の確率で発生するかの情報にもとづいて異常かどうかを判断。同じ年に発表されたテキスト分類ベース異常検知に方向が近い?

レジストリアクセスはWin32をフックしてつかまえる。

UNIXのシステムコールで学習ベースの異常検知するって研究は10年以上の歴史があり、論文も山のようにある。でもWindowsでそれをやった研究は非常に少ない。UNIXで培われてきた技法がWindows(をはじめとする非UNIX系OS)でも意味があるのかどうかはopen questionであり、非常に興味深い。この研究は、レジストリが異常検知の手がかりとしてある程度有用であることを示している。

このへんとかこのへんにも、学習に基づく異常検知の研究があります。
スポンサーサイト

<< 【モデル検査】 Automatic Discovery of API-Level Exploits 【セキュリティ】 | ホーム | 【ソフトウェア工学】 Highly Reliable Upgrading of Components 【プログラミング言語】 >>


コメント

コメントの投稿


管理者にだけ表示を許可する

 BLOG TOP 


上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。