著者
伊波 靖 高良 富夫
出版者
情報処理学会
雑誌
情報処理学会論文誌 (ISSN:18827764)
巻号頁・発行日
vol.50, no.9, pp.2173-2181, 2009-09-15
被引用文献数
1

近年,不正なプログラムの感染および拡大方法の多様化と伝搬速度の高速化により,シグネチャによる不正プログラム対策ソフトウェアの限界が議論され,プログラムの振舞いに基づくビヘイビア型異常検知システムがさかんに研究されている.しかし,ビヘイビア型異常検知システムでは,高い検知率を得ることにともなうFalse Positiveの割合を減少させることが課題となっている.本論文では,Windowsにおいてシステムの資源に影響を与える危険なシステムコールに着目した異常検知手法を提案する.提案方式は,まず,OSが管理する重要な資源に影響を与えるクリティカルなシステムコールを,不正なプログラムの振舞いから定義したシステムコールと引数によるルールを用いて検知する.次に,それ以前に発行されたシステムコールの履歴からSupport Vector Machine(SVM)を用いて,検知したクリティカルなシステムコールが不正なプログラムによって発行された危険なシステムコールかどうかを識別することで異常を検知する.我々は,提案方式に基づくプロトタイプシステムを開発し,現実的な不正なプログラムおよび通常のプログラムを用いて実験を行った.実験では,提案方式の検知能力とFalse Positiveの割合について評価を行った.In recent years, infection and expansion method of malicious program are diversified, and the propagation speed has been rapid. The limit of the detection of security systems by signature has been indicated. Therefore, the behavior type anomaly detection system based on the behavior of the program has been actively researched. However, decreasing the ratio of false positive according to obtaining a high detection rate becomes a problem in the behavior type anomaly detection system. In this paper, we propose the anomaly detection method of combining behavior of program and detection rule to detect a dangerous system call that affects important resource of Windows system. The proposed method first detects a doubtful system call by the detection rule using system call and argument. Then, a dangerous system call is identified by using Support Vector Machine (SVM) from the history of the system call, and execution is intercepted. We performed an experiment by developing the prototype system based on the proposed method, and using realistic malicious program and usual program. Through the experiments, we have evaluated the detection rate of the proposed technique and the ratio of false positive.