2009 Fiscal Year Annual Research Report
暗号化命令コードを用いた能動的ハニーポットシステムの研究
| Project/Area Number |
21650012
|
|---|
| Research Institution | University of Tsukuba |
|---|
Principal Investigator |
山口 喜教 University of Tsukuba, 大学院・システム情報工学研究科, 教授 (00312827)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
前田 敦司 筑波大学, 大学院・システム情報工学研究科, 准教授 (50293139)
|
|---|
| Keywords | セキュア・ネットワーク / ハニーポット / 命令コード変換 / 仮想技術 / IDS |
|---|
| Research Abstract |
本研究の目的は、侵入者の基本的な侵入手口である、「悪意のあるプログラマが、プログラムの実行に不可欠なデータを意図的に上書きさせることにより、侵入者の意図的なコードを実行させる」という点に着目し、命令セットを暗号化することによって、仮に侵入者が意図的なコードを忍びこませたとしても、そのコードを実行する段階になった時に、そのコードが侵入者の意図した通りに実行されず、実行時エラーとなることによって、侵入されたことを直ちに検出できる仮想的なプロセッサを開発することである。この研究は、この仮想的なプロセッサに対して不正な侵入があった場合に、これを直ちに検出し、その情報とパケットのログから侵入者のアドレスなどを割り出し、この情報をファイアウォールや侵入検知システムなどに素早く知らせることにより、重要なサーバなどに対するサイバー攻撃をなるべく早く検知し、遮断することができるような、能動的なハニーポットを構成するための基礎研究として位置づけられる。本年度は、暗号化した命令セットを持つ仮想プロセッサの検知性能の評価を行うことで、その有用性を示した。攻撃の命令の長さによる検知率を測定した結果、バッファオーバーフロー攻撃の実行コードが15byte以上あればほぼ99%以上の検知が可能であることを示した。さらに、この信号を利用してハニーポットシステムを構築するための連携的な研究としてハードウェア化された侵入検知システムに関する研究を行った。この研究では、辞書圧縮の概念を利用して、パターン検査回路を最適化することにより、従来の方式に比較して、より少ないハードウェアで侵入検知などのネットワーク処理が実現可能であることを示した。
|
