Development of abnormality detection system focused on a dangerous system calls using the SVM.

• Project/Area Number: 23500106
• Research Category: Grant-in-Aid for Scientific Research (C)
• Allocation Type: Multi-year Fund
• Section: 一般
• Research Field: Computer system/Network
• Research Institution: Okinawa National College of Technology
• Principal Investigator: IHA Yasushi 沖縄工業高等専門学校, メディア情報工学科, 教授 (60390564)
• Project Period (FY): 2011 – 2013
• Project Status: Completed (Fiscal Year 2013)
• Budget Amount: ¥4,680,000 (Direct Cost: ¥3,600,000、Indirect Cost: ¥1,080,000); Fiscal Year 2013: ¥910,000 (Direct Cost: ¥700,000、Indirect Cost: ¥210,000); Fiscal Year 2012: ¥910,000 (Direct Cost: ¥700,000、Indirect Cost: ¥210,000); Fiscal Year 2011: ¥2,860,000 (Direct Cost: ¥2,200,000、Indirect Cost: ¥660,000)
• Keywords: 不正プログラム検知 / ネットワークセキュリティ技術 / SVM / WAF / 仮想マシンモニタ / BitVisor

Research Abstract

In this study, we propose the anomaly detection method of combining behavior of program and detection rule to detect a dangerous system call that affects important resource of Windows system. The proposed method first detects a doubtful system call by the detection rule using system call and argument. Then, a dangerous system call is identified by using Support Vector Machine from the history of the system call, and execution is intercepted. We performed an experiment by developing the prototype system based on the proposed method, and using realistic malicious program and usual program. Through the experiments, we have evaluated the detection rate of the proposed technique and the ratio of false positive.

Research Products

• [Journal Article] サポートベクタマシンを用いた WAF への異常検知機能の実装と評価 (2014)
  • Author(s): 伊波靖, 高良富夫
  • Journal Title: 情報処理学会論文誌 コンピューティングシステム Volume: Vol. 7, No. 1 Pages: 1-13
  • NAID: 110009687721
• [Journal Article] サポートベクタマシンを用いたWAFへの異常検知機能の実装と評価 (2014)
  • Author(s): 伊波靖, 高良富夫
  • Journal Title: 情報処理学会論文誌 コンピューティングシステム Volume: 7 Pages: 1-13
  • NAID: 110009687721
  • Peer Reviewed
• [Presentation] SVM を用いたプログラムの特徴に基づく異常検知システムの改良 (2014)
  • Author(s): 新垣杏里, 伊波靖
  • Organizer: 情報処理学会第76回全国大会講演論文集(3)
• [Presentation] SVM を用いたプログラムの特徴に基づく異常検知システムの実装 (2013)
  • Author(s): 伊波靖, 新垣杏里
  • Organizer: 情報処理学会第75回全国大会講演論文集(3)
• [Presentation] SVM を用いたシステムコール履歴に基づく異常検知システムの BitVisor への実装 (2013)
  • Author(s): 伊波靖, HENDRA GUNTUR
  • Organizer: 情報処理学会第75回全国大会講演論文集(3)
• [Presentation] SVMを用いたプログラムの特徴に基づく異常検知システムの実装 (2013)
  • Author(s): 伊波靖
  • Organizer: 情報処理学会第75回全国大会
  • Place of Presentation: 東北大学
• [Presentation] SVMを用いたシステムコール履歴に基づく異常検知システムのBitVisorへの実装 (2013)
  • Author(s): 伊波靖
  • Organizer: 情報処理学会第75回全国大会
  • Place of Presentation: 東北大学
• [Presentation] SVM を用いた Windows向け異常検知システムの実装と評価 (2012)
  • Author(s): 伊波靖, 高良富夫
  • Organizer: FIT2012(第11回情報科学技術フォーラム)講演論文集 第4 分冊
• [Presentation] SVM を利用した WAFへの異常検知機能の実装と評価 (2012)
  • Author(s): 伊波靖, 高良富夫
  • Organizer: 情報処理学会第74回全国大会講演論文集(3)
• [Presentation] SVM を用いた Windows 向け異常検知システムの実装と評価 (2012)
  • Author(s): 伊波靖
  • Organizer: 第11回情報科学技術フォーラム(FIT2012)
  • Place of Presentation: 法政大学小金井キャンパス
• [Presentation] SVMを用いたWAFへの異常検知機能の実装と評価 (2012)
  • Author(s): 伊波靖
  • Organizer: 情報処理学会第74回全国大会
  • Place of Presentation: 名古屋工業大学
• [Presentation] SVMを用いたプログラムの特徴に基づく異常検知システムの改良
  • Author(s): 新垣杏里，伊波 靖
  • Organizer: 情報処理学会第76回全国大会
  • Place of Presentation: 東京電機大学