著者

嶋村 誠 河野 健二

雑誌

情報処理学会論文誌 (ISSN:18827764)

巻号頁・発行日

vol.50, no.9, pp.2371-2381, 2009-09-15

---

バッファオーバフロー攻撃に代表されるリモートコードインジェクション攻撃が大きな問題となっている.このような攻撃を検知するため,近年ではメッセージ中に機械語命令列に相当するバイト列が含まれているかどうかを検査するネットワーク侵入検知システム(NIDS)が提案されている.しかし,これらのシステムでは検知した攻撃コードが実際にサーバ上でどのように振る舞うかは分からない.このため,NIDSが攻撃を検知すると,管理者は適切な対策をとるため,人手で攻撃コードの振舞いを調査しなければならない.本論文では攻撃メッセージを解析し,攻撃コードの振舞いを抽出するシステムであるYataglassを提案する.Yataglassでは,NIDSが検知したメッセージを機械語命令列と見なして擬似的に実行し,攻撃が成功したときに実行されるシステムコール列を抽出する.実際にIntel x86アーキテクチャのLinuxおよびWindowsに対する攻撃メッセージを対象としたYataglassのプロトタイプを作成し,実験を行った.実験の結果,Sambaを対象とする攻撃メッセージや,Metasploit Frameworkから生成された攻撃メッセージが実行するシステムコールを抽出することができた.