静的解析に基づく侵入検知システムの最適化.pptVIP

静的解析に基づく侵入検知システムの最適化 大山 恵弘　（科学技術振興事業団） 王 維　　　　（筑波大学） 加藤 和彦　（筑波大学?科学技術振興事業団） 背景 C言語　＝　大大大迷惑で危険な言語 世界に大きな脅威と経済的損失 ex1. バッファオーバフローで乗っ取り ex2. スタックやヒープが壊れて誤動作 しかし、今すぐC言語を駆逐するのは無理 支援システムでC言語の欠陥を補いましょう バッファオーバフロー サイズを越えてデータをバッファに注入 スタック、ヒープの破壊 制御フローのねじ曲げ 突然libcのexecに突入 注入したバイナリコード先頭にジャンプ Cプログラムを安全に実行するための方策 型安全性の導入 [Oiwa et al. 02] Stack-smashing攻撃防止システムの導入[Cowan et al. 96], [Etoh] 侵入検知システムの導入 他多数… 侵入検知システム 基本的な動き プログラムの実行を監視 侵入を検知　→　対策を取る 検知方式 シグネチャ検知: 「異常」の規則を保持 ex. 原始的なAntivirus 異常検知: 「正常」の規則を保持 異常検知システム 方法 プログラムのモデル（正しい動作を表す規則）を作成 モデルに従わない動作　＝　異常と判定 長所 未知の攻撃を検出可能 本研究の目的 実用的な異常検知システムの構築 小さいオーバヘッド 高い検知精度 使用が容易 以降の流れ 異常検知システムの設計軸 既存の方法 既存の方法の問題 本研究の方法 実験 議論?関連研究 異常検知システム作ろう！ 異常検知システム作ろう！といっても色々考えることがある 何を監視するか？ モデル（正しい動作を表す規則）をどうやって作るか？ 何を監視するか？ キータイプ パケット システムコール 制御スタック ヒープ モデルをどうやって作るか？ 人間が頭をひねって書く [Ko et al. 94], [Sekar et al. 99] 問題: 計算機の専門知識が必要 過去の正常な実行を一般化?学習 [Forrest et al. 96], [Sekar et al. 01] 問題: 学習のためにプログラムを実行するのが面倒 プログラムの静的解析による自動生成 [Wagner et al. 01], [Giffin et al. 02] 本研究のアプローチ 制御フローを監視しながら実行 モデルに無い制御フローを辿った → 異常 システムコール呼び出し時に制御の状態を検査 Wagnerらの方法 [Wagner et al. 01] の改良 Wagnerらのシステム モデル 実行の監視 問題点 プログラムの内部状態を正確に把握しない 制御の場所を非決定的に把握 問題点1: オーバヘッドの増加 実用的とは言い難い性能 問題点2: 攻撃の見逃しの増加 我々の考え 静的解析でモデルを作る着眼は良い しかし、システムコール列のみを検査対象にするのはいかがなものか プログラムの内部状態をもっと取得?活用してもいいのでは？ イメージ 提案方式 モデル 制御の移動を表すオートマトン 検査方法 システムコールでプログラムを停止 スタックを検査 前回停止時のスタックから現在のスタックへの制御フローがモデル中にあるかどうか調べる 遷移可能性の検査 現在はナイーブなやり方 スタックの各フレームごとに遷移の存在を検査 popするパスの探索 pushするパスの探索 実装 モデル生成機能つきコンパイラ部 GCCを改造して作成工数： 0.018人年 実行監視部 別プロセスによる監視 カーネルモジュールによってプロセスを操作 システムコールをフック レジスタ?スタック情報の取得 特徴 Wagnerらの方法 偽警報が出ない （正常を異常と誤判定しない） モデルを作る手間がかからない 加えて、本研究のシステム Wagnerらの方法より オーバヘッドが小さい（？） 見逃す攻撃が少ない 実験 環境 Pentium 4 (2.8GHz) 上のVMware Red Hat Linux 7.1 アプリケーション wc: 22MBのファイルのカウント cp: 22MBのファイルのコピー tar: ソースツリーのtarファイルを作成 結果 関連研究: 異常検知システム 関連研究: バッファオーバフロー対策 Non-executable stack, StackGuard [Cowan et al. 96], propolice [Etoh] 関数ポインタを書き換える攻撃を防げない Program shepherding [Kiriansky et al. 02] 全ブランチ命令で安全性検査 ex.