JP2008242915A - Attack detection method and audit device - Google Patents

Attack detection method and audit device Download PDF

Info

Publication number
JP2008242915A
JP2008242915A JP2007083877A JP2007083877A JP2008242915A JP 2008242915 A JP2008242915 A JP 2008242915A JP 2007083877 A JP2007083877 A JP 2007083877A JP 2007083877 A JP2007083877 A JP 2007083877A JP 2008242915 A JP2008242915 A JP 2008242915A
Authority
JP
Japan
Prior art keywords
register
intrusion detection
detection device
attack
processing unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007083877A
Other languages
Japanese (ja)
Inventor
Seiichi Domyo
誠一 道明
Tatsutoshi Sakuraba
健年 櫻庭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2007083877A priority Critical patent/JP2008242915A/en
Publication of JP2008242915A publication Critical patent/JP2008242915A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a means for quickly detecting a detour attack in a computer system equipped with a plurality of intrusion detection devices. <P>SOLUTION: In this attack detection method executed by an audit device 120 which detects a detour attack detouring intrusion detection devices (111 to 113) in a computer system equipped with a plurality of the intrusion detection devices (111 to 113) to be called according to the order of the execution of a process, the audit device 120 measures the number of times of use of the intrusion detection devices (111 to 113) in a prescribed processing unit executed by a computer system, and compares the measured number of times of use with the number of plans as the preset number of times of use of the intrusion detection devices (111 to 113) after the use of all the intrusion detection devices (111 to 113) in the prescribed processing unit, and when the measured number of times of use is not matched with the number of plans, a signal showing an abnormality is outputted. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、プログラムの実行順序にしたがって、複数の侵入検知装置を呼び出すコンピュータシステムに関し、特に侵入検知装置を迂回する攻撃を検出する攻撃検出方法及び監査装置に関する。   The present invention relates to a computer system that calls a plurality of intrusion detection devices in accordance with the execution order of a program, and more particularly to an attack detection method and an audit device that detect an attack that bypasses an intrusion detection device.

コンピュータシステムにおいて、外部から内部への不正アクセスを検知するために、複数の侵入検知装置(以下、検知装置と略す)を用いるセキュリティ技術がある。このような技術の例として、特許文献1には、網と網の中継装置から異種の検知装置を呼び出す方法が記載されている。また、特許文献2には、網の要所に同種の検知装置を配置する検知システムが記載されている。   In a computer system, there is a security technique that uses a plurality of intrusion detection devices (hereinafter abbreviated as detection devices) in order to detect unauthorized access from the outside to the inside. As an example of such a technique, Patent Document 1 describes a method of calling different types of detection devices from a network and a network relay device. Patent Document 2 describes a detection system in which detection devices of the same type are arranged at important points of a network.

このような検知装置の例として、例えば、特許文献3及び特許文献7に記載されたメモリ保護装置や、特許文献4に記載されたサンドボックスや、特許文献5に記載された強制アクセス制御装置や、特許文献6に記載された電子署名装置等が挙げられる。   Examples of such detection devices include, for example, the memory protection device described in Patent Literature 3 and Patent Literature 7, the sandbox described in Patent Literature 4, the forced access control device described in Patent Literature 5, and the like. And an electronic signature device described in Patent Document 6.

前記のような侵入検知装置を複数備えるコンピュータシステムにおいて、各検知装置が発する警報を収集する監査装置を設置することがある。監査装置を設置することで、複数の検知装置の検査結果が記録され、これを調査することで、検知漏れの防止、侵入された計算機の特定が期待できる。一方で、従来技術では、検査対象であるコンピュータシステムや網の構成に応じて、検知装置の種類や配置を再調整しなければならない。   In a computer system including a plurality of intrusion detection devices as described above, an audit device that collects an alarm issued by each detection device may be installed. By installing an auditing device, the inspection results of a plurality of detecting devices are recorded, and by investigating this, it is possible to prevent omission of detection and identify the computer that has entered. On the other hand, in the prior art, the type and arrangement of the detection device must be readjusted according to the configuration of the computer system or network to be inspected.

監査装置と検知装置とが独立した構成では、監査装置は、各検知装置からの警報の有無により各検知装置の状態を認知することができる。このとき、ある検知装置の警報が到着しない要因としては、(a)検知漏れの可能性、(b)検知装置の無効化、(c)装置や中継器の故障等が考えられる。ただし、従来技術の監査装置は、要因(a)と要因(b)とを識別することはできない。   In a configuration in which the auditing device and the detection device are independent, the auditing device can recognize the state of each detection device based on the presence or absence of an alarm from each detection device. At this time, as a factor that an alarm of a certain detection device does not arrive, (a) the possibility of detection omission, (b) invalidation of the detection device, (c) failure of the device or repeater, etc. are conceivable. However, the prior art audit apparatus cannot distinguish between the factor (a) and the factor (b).

前記の要因(b)の検知装置を無効化する攻撃は、障害の現れ方により、陰と陽とに分類でき、攻撃の種別に応じて検出方法も異なる。陽な攻撃、例えば、DoS(denial of service)攻撃に対しては、コンピュータシステム資源の使用量を計測することで検出可能である。このため、コンピュータシステムによる検出の自動化は容易である。
一方、陰な攻撃、例えば、検知装置を迂回する攻撃に対しては、監査装置の監査履歴を、人手を使って参照することで検出可能である。この場合、コンピュータシステムによる検出の自動化は困難である。
Attacks that invalidate the detection device for the factor (b) can be classified into yin and yang depending on how the failure appears, and the detection methods differ depending on the type of attack. An explicit attack, such as a DoS (denial of service) attack, can be detected by measuring the amount of computer system resources used. For this reason, it is easy to automate detection by a computer system.
On the other hand, an implicit attack, for example, an attack that bypasses the detection device, can be detected by manually referring to the audit history of the audit device. In this case, it is difficult to automate detection by the computer system.

前記の監査履歴とは、検知装置の内部処理を時系列に記録したものである。したがって、検知装置の内部処理のすべてが監査履歴として記録されるのが理想的である。しかし、監査装置の記憶媒体は有限であり、検知装置が異常を検知しない際は、監査履歴として残さない場合が一般的である。この場合、検知装置を迂回すると、監査履歴としては残らない。また、検知装置の内部処理のすべてを記録する場合であっても、履歴の前後関係から迂回がなされたことを類推するしかない。ゆえに、監査履歴から検知装置の迂回を抽出する作業は、人手による確認を少なからず必要とする。
なお、セキュリティ機能を迂回する陰な攻撃を、以下では迂回攻撃と呼ぶ。
特表2005−517349号公報 特開2004−030286号公報 特開2001−216161号公報 特開2005−157502号公報 特表2004−529408号公報 特開平03−041535号公報 特開平10−333902号公報
The audit history is a record of internal processing of the detection device in time series. Therefore, ideally, all of the internal processing of the detection device is recorded as an audit history. However, the storage medium of the audit device is limited, and when the detection device does not detect an abnormality, it is generally not left as an audit history. In this case, if the detection device is bypassed, the audit history is not left. Even when all of the internal processing of the detection device is recorded, it is only possible to infer that detouring has been made from the context of the history. Therefore, the work of extracting the detour of the detection device from the audit history requires a lot of manual confirmation.
An implicit attack that bypasses the security function is hereinafter referred to as a bypass attack.
JP 2005-517349 Japanese Patent Laid-Open No. 2004-030286 JP 2001-216161 A JP 2005-157502 A Special table 2004-529408 gazette Japanese Patent Laid-Open No. 03-041535 JP 10-333902 A

したがって、本発明の解決しようとする課題は、複数の侵入検知装置を備えるコンピュータシステムにおいて、迂回攻撃を迅速に検出できる手段を提供することである。   Therefore, the problem to be solved by the present invention is to provide means capable of quickly detecting a detour attack in a computer system including a plurality of intrusion detection devices.

前記の課題を解決するために本発明は、プロセスの実行順序に従って呼び出す複数の侵入検知装置を備えるコンピュータシステムにおいて、侵入検知装置を迂回する迂回攻撃を検知する監査装置が実行する方法であって、前記の監査装置が、コンピュータシステムで実行される所定の処理単位における侵入検知装置の使用回数を計測し、所定の処理単位において、すべての侵入検知装置の使用後に、計測した使用回数と予め設定された侵入検知装置の使用数である計画数とを比較し、計測した使用回数と計画数が一致しない場合に、異常を示す信号を出力する攻撃検出方法を提供する。   In order to solve the above problems, the present invention is a method executed by an auditing device that detects a detour attack that bypasses an intrusion detection device in a computer system including a plurality of intrusion detection devices that are called in accordance with the execution order of processes, The inspection device measures the number of times of use of the intrusion detection device in a predetermined processing unit executed in the computer system, and is set in advance as the measured number of use after use of all the intrusion detection devices in the predetermined processing unit. An attack detection method is provided that compares a planned number of used intrusion detection devices and outputs a signal indicating an abnormality when the measured number of uses does not match the planned number.

本発明のその他の態様については、後記する実施の形態において詳しく説明する。   Other aspects of the present invention will be described in detail in the embodiments described later.

本発明によると、コンピュータシステムにおける処理単位の出口において、迂回攻撃の発生を検出することで迂回攻撃の検知が可能となり、迂回攻撃の検知にかかる時間を短縮することができる。   According to the present invention, it is possible to detect a bypass attack by detecting the occurrence of a bypass attack at the exit of a processing unit in the computer system, and it is possible to reduce the time required for detecting the bypass attack.

以下、迂回攻撃を検出する監査装置またはそれを検出する方法について、本発明を適用した好適な実施の形態(以下、実施形態)に基づいて説明する。   Hereinafter, an audit apparatus for detecting a detour attack or a method for detecting the same will be described based on a preferred embodiment (hereinafter, an embodiment) to which the present invention is applied.

(第1実施形態)
第1実施形態の特徴は、監査装置を、コンピュータシステムにおけるシステムコールの出口に設置したことにある。この構成により、(a)システムコールごとに検知装置の使用が確認できる、(b)計画した検知装置について使用を確認できる、(c)システムコールの出口に戻らない場合に、検知装置のみならず監査装置自体が迂回されたことがわかるという効果が得られる。
(First embodiment)
The feature of the first embodiment resides in that the auditing apparatus is installed at the exit of the system call in the computer system. With this configuration, (a) the use of the detection device can be confirmed for each system call, (b) the use of the planned detection device can be confirmed, (c) not only returning to the exit of the system call, but also the detection device An effect is obtained that it is understood that the auditing device itself has been bypassed.

図1は、システムコールの出口に監査装置を設置したコンピュータシステムのブロック図の例である。図1を参照しつつ、本実施形態のコンピュータシステムの構成を説明する。   FIG. 1 is an example of a block diagram of a computer system in which an audit device is installed at the exit of a system call. The configuration of the computer system of this embodiment will be described with reference to FIG.

図1に示すように、コンピュータシステムは、実行中のプログラムのプロセスP101と、OS(Operating System) においてコンピュータシステムのリソースを管理するカーネルK102と、ファイルを格納したデバイスD103と、3台の検知装置S1(111)、S2(112)、S3(113)とから構成される。このコンピュータシステムに監査装置T120が追加されている。この監査装置T120は、迂回攻撃を検出するための計数器(301又は501)を備えている。   As shown in FIG. 1, the computer system includes a process P101 of a program being executed, a kernel K102 for managing computer system resources in an OS (Operating System), a device D103 storing files, and three detection devices. S1 (111), S2 (112), and S3 (113) are comprised. An auditing device T120 is added to this computer system. The auditing device T120 includes a counter (301 or 501) for detecting a detour attack.

なお、コンピュータシステムは、ハードウェア構成として、CPU(Central Processing Unit)、RAM(Random Access Memory)、ハードディスク等のストレージデバイスを備える。また、プロセスP101及びカーネルK102は、例えば、ストレージデバイスに記憶されたプロセスP101及びカーネルK102として実行されるプログラムを、RAMに展開してCPUが実行することで具現される。
さらに、監査装置T120及び各検知装置S1(111)、S2(112)、S3(113)は、ストレージデバイスに記憶されたプログラムとして具現したり、コンピュータシステムに内蔵されたボード型コンピュータや、コンピュータシステムの外部に接続される他のコンピュータシステム等の専用のハードウェアとして具現することができる。また、計数器(301又は501)の構成及びその動作は後記する。
The computer system includes a storage device such as a CPU (Central Processing Unit), a RAM (Random Access Memory), and a hard disk as a hardware configuration. Further, the process P101 and the kernel K102 are realized by, for example, developing a program executed as the process P101 and the kernel K102 stored in the storage device on the RAM and executing the program by the CPU.
Further, the auditing device T120 and each of the detection devices S1 (111), S2 (112), and S3 (113) are embodied as a program stored in a storage device, a board type computer built in a computer system, or a computer system It can be embodied as dedicated hardware such as another computer system connected to the outside. The configuration and operation of the counter (301 or 501) will be described later.

図1に示したコンピュータシステムでは、プロセスP101が発行するシステムコールeの入口から、3台の検知装置S1(111)、S2(112)、S3(113)が、S1(111)→S2(112)→S3(113)の順に侵入検知を実行する。そして、各検知装置S1(111)、S2(112)、S3(113)は、その処理の出口において、異常の有無と併せて、自装置が使用されたことを監査装置T120に通知する。この通知を監査装置T120は記憶する。そして、カーネルK102は、すべての検知装置S1(111)、S2(112)、S3(113)の検査がなされ、異常が見つからない場合に、システムコールe処理の本体を実行する。たとえば、デバイスD103経由でファイルにアクセスした後に、システムコールeの出口に戻る。そして、出口において、異常の有無を確認するために監査装置T120が呼び出される。   In the computer system shown in FIG. 1, three detection devices S1 (111), S2 (112), and S3 (113) are connected to S1 (111) → S2 (112) from the entrance of the system call e issued by the process P101. ) → Intrusion detection is performed in the order of S3 (113). Then, each of the detection devices S1 (111), S2 (112), and S3 (113) notifies the auditing device T120 that the device has been used together with the presence or absence of abnormality at the exit of the processing. The auditing device T120 stores this notification. Then, the kernel K102 performs inspection of all the detection devices S1 (111), S2 (112), and S3 (113), and executes the main body of the system call e process when no abnormality is found. For example, after accessing the file via the device D103, the process returns to the exit of the system call e. Then, at the exit, the auditing device T120 is called to check whether there is an abnormality.

ここで、検知装置S2(112)、S3(113)を迂回する迂回攻撃が発生する場合を例にとると、3台の検知装置S1(111)、S2(112)、S3(113)のうちで、検知装置S1(111)では正常と判定するもの(実際には検知漏れ)の、検知装置S2 (112)及び検知装置S3(113)は使用されず、直接デバイスD103経由でファイルにアクセスする。これにより、本来ならばアクセスできないファイルが改ざんされたり、漏洩する恐れがある。また、プロセスP101の制御を奪取し、さらなる攻撃や侵入を繰り返す恐れもある。   Here, taking as an example a case where a detour attack that bypasses the detection devices S2 (112) and S3 (113) occurs, out of the three detection devices S1 (111), S2 (112), and S3 (113) In the detection device S1 (111), the detection device S2 (112) and the detection device S3 (113), which are determined to be normal (actually omission of detection), are not used, and the file is directly accessed via the device D103. . As a result, there is a risk that a file that would otherwise be inaccessible may be altered or leaked. In addition, the control of the process P101 may be taken and further attacks and intrusions may be repeated.

図1に示したように、システムコールeの出口に監査装置T120を設置することで、システムコールeの出口で、監査装置T120が呼び出された際に、各検知装置S1(111)、S2(112)、S3(113)が使用されたことを示す通知を、監査装置T120が検知できないことにより、迂回攻撃が発生したと検出することができる。この場合、履歴を参照する従来方式にくらべてより早く迂回攻撃の検出が可能となる。   As shown in FIG. 1, by installing the auditing device T120 at the exit of the system call e, when the auditing device T120 is called at the exit of the system call e, each detection device S1 (111), S2 ( 112), the notification indicating that S3 (113) has been used cannot be detected by the auditing device T120, so that it is possible to detect that a detour attack has occurred. In this case, the detour attack can be detected earlier than the conventional method of referring to the history.

なお、OSのプロセス制御方式によっては、システムコールeの出口ではなく、デバイスD103を呼び出す入口において、監査装置Tを呼び出すこともできる。その際に、迂回攻撃に付随する不正アクセスや特権奪取を未然に食止めることが期待できる。つまり、図1に示したコンピュータシステムに限らず、システムコールeにおいて、複数設置された検知装置の後段側に監査装置T120を設置することで、迂回攻撃を検出することができる。   Note that, depending on the OS process control method, the auditing apparatus T can be called not at the exit of the system call e but at the entrance where the device D103 is called. In that case, it can be expected to stop unauthorized access and privilege seizure accompanying the detour attack. That is, not only the computer system shown in FIG. 1 but also a detour attack can be detected by installing the auditing device T120 on the rear side of a plurality of detecting devices in the system call e.

また、例えば、2つのプロセスがあって、一方のプロセスがデバイスD103を呼び出すときに他方のプロセスへ制御が移る割り込みがなされる場合、割り込みが発生した時点で監査装置T120を呼び出すことにしてもよい。
また、図1に示したコンピュータシステムでは、検知装置S1(111)はメモリ保護装置、検知装置S2(112)はサンドボックス、検知装置S3(113)は強制アクセス制御装置を想定しているが、本発明は、それらに限定されるものではなく、検知装置の種類に関係なく適用可能である。
Further, for example, when there are two processes and one of the processes calls the device D103 and an interrupt is made to transfer control to the other process, the auditing device T120 may be called when the interrupt occurs. .
In the computer system shown in FIG. 1, it is assumed that the detection device S1 (111) is a memory protection device, the detection device S2 (112) is a sandbox, and the detection device S3 (113) is a forced access control device. The present invention is not limited to these, and can be applied regardless of the type of detection device.

さらに、本実施形態では、履歴や警報出力などの検知装置Sの内部処理に依存せず、検知装置Sの出口において、検知装置Sが使用されたことを示す通知を監査装置T120が受け取ることで、検知装置Sの使用数を計測することができる。この方法により、(a)検査装置Sの使用数の計測にフックを用いることができ、カーネルKや検知装置Sへの影響が小さい、(b)監査装置Tを任意の場所で呼び出しても使用数の計測誤りがなくなる、(c)監査装置Tから問い合わせる、または履歴解析の場合にくらべて計測による性能低下が小さくなるという効果を奏することができる。   Furthermore, in this embodiment, the auditing device T120 receives a notification indicating that the detection device S has been used at the exit of the detection device S without depending on the internal processing of the detection device S such as history and alarm output. The number of detectors S used can be measured. By this method, (a) a hook can be used for measuring the number of used inspection apparatuses S, and the influence on the kernel K and the detection apparatus S is small. (B) Even if the auditing apparatus T is called at any place, it is used. There is an effect that the measurement error of the number is eliminated, (c) the performance degradation due to the measurement is reduced as compared with the case of inquiring from the inspection apparatus T or the history analysis.

次に、コンピュータシステムにおける検知装置の使用数の計測手順について説明する。ここで、図2は、検知装置の使用数の計測手順を説明するシーケンス図の例である。   Next, a procedure for measuring the number of detection devices used in the computer system will be described. Here, FIG. 2 is an example of a sequence diagram illustrating a procedure for measuring the number of detection devices used.

図2に示したシーケンス図におけるコンピュータシステムは、図1に示したコンピュータシステムと同様の構成として、プロセスP101と、カーネルK102と、デバイスD103と、3台の検知装置S1(111)、S2(112)、S3(113)とを備えることを想定している。さらに、図2に示したコンピュータシステムは、システムコールeに依存しない検知装置として、プロセスP101の改ざんを検知する電子署名装置である検知装置S4と、プロセスP101の稼働時のライブラリコールの際に、ライブラリの改ざんを検知する、検知装置S1とは別のメモリ保護装置である検知装置S5とを備えていることを想定する。   The computer system in the sequence diagram shown in FIG. 2 has the same configuration as that of the computer system shown in FIG. 1, and includes a process P101, a kernel K102, a device D103, and three detection devices S1 (111) and S2 (112 ), S3 (113). Furthermore, the computer system shown in FIG. 2 detects a detection device S4 that is an electronic signature device that detects falsification of the process P101 as a detection device that does not depend on the system call e, and a library call during the operation of the process P101. It is assumed that a detection device S5 that is a memory protection device different from the detection device S1 that detects tampering of the library is provided.

また、図2において、チェックポイントCPi(i=1,…,5)は、検知装置Si(i=1,…,5)の出口を示したものである。このチェックポイントCPiを通過する場合に、その検知装置Siを使用したとみなすフックが設けられている。このフックは、後記する計数器(301又は501)を呼び出す処理を含んでいる。このフックは、カーネルK内部の任意の場所に組み込むことが容易であることが望ましいソフトウェアである。   In FIG. 2, check points CPi (i = 1,..., 5) indicate the exits of the detection devices Si (i = 1,..., 5). A hook is provided that assumes that the detection device Si is used when passing through the check point CPi. This hook includes processing for calling a counter (301 or 501) described later. This hook is software that is preferably easy to incorporate in any location inside the kernel K.

図2を参照して、コンピュータシステムにおいて、プロセスP101を含むプログラムが実行されると、カーネルK102は、検知装置S4を呼び出し、プロセスP101の改ざんを検知し、検知装置S4の出口(CP4)において、監査装置T120に、検知結果と併せて、前記のフックにより検知装置S4の使用を通知する。
そして、プログラムがプロセスP101のライブラリを呼び出す。その際、検知装置S5を呼び出し、呼び出したライブラリの改ざんを検知し、検知装置S5の出口(CP5)において、監査装置T120に、検知結果と併せて、前記のフックにより検知装置S4の使用を通知する。
Referring to FIG. 2, when a program including process P101 is executed in the computer system, kernel K102 calls detection device S4, detects falsification of process P101, and at the exit (CP4) of detection device S4, The audit device T120 is notified of the use of the detection device S4 by the hook together with the detection result.
Then, the program calls the process P101 library. At that time, the detection device S5 is called, the alteration of the called library is detected, and at the exit (CP5) of the detection device S5, the use of the detection device S4 is notified to the auditing device T120 by the hook together with the detection result. To do.

その後、システムコールeによりサービスルーチンが開始され、検知装置S1(111)→検知装置S2(112)→検知装置S3(113)の順で検知装置が呼び出され、各検知装置の出口(CP1,CP2,CP3)において、監査装置T120に、検知結果と併せて、前記のフックにより各検知装置の使用を通知する。
そして、システムコールeによるサービスルーチンの出口において、異常の有無を確認するために監査装置T120が呼び出される(図示せず)。
Thereafter, a service routine is started by the system call e, and the detection devices are called in the order of the detection device S1 (111) → the detection device S2 (112) → the detection device S3 (113), and the exits (CP1, CP2) of each detection device. , CP3), the audit device T120 is notified of the use of each detection device by the hook together with the detection result.
Then, at the exit of the service routine by the system call e, the auditing device T120 is called to check whether there is an abnormality (not shown).

検知装置S2(112)、S3(113)を迂回する前記の迂回攻撃の例では、検知装置S1→検知装置S2→検知装置S3の順で繰り返すところを迂回されたため、例えば、次のようにチェックポイントCPiを通過したとする。   In the example of the detour attack that bypasses the detection devices S2 (112) and S3 (113), since the place where the detection device S1 → the detection device S2 → the detection device S3 is repeated is bypassed, for example, check as follows. Suppose that the point CPi is passed.

CP1→CP2→CP3→CP1→CP2→CP3→CP1→CP1→CP2→CP3
(検知装置:S1→S2→S3→S1→S2→S3→S1→S1→S2→S3)
CP1->CP2->CP3->CP1->CP2->CP3->CP1->CP1->CP2-> CP3
(Detecting device: S1->S2->S3->S1->S2->S3->S1->S1->S2-> S3)

この例の場合、システムコールeが4回繰り返され、3回目から4回目の繰り返しにおいて、CP2→CP3を計測できないことがわかるので、その場合に少なくとも1つ以上の検知装置が迂回されたことが分かる。   In this example, the system call e is repeated four times, and it is understood that CP2 → CP3 cannot be measured in the third to fourth repetitions. In this case, at least one detection device is bypassed. I understand.

次に、監査装置T120に内蔵された計数器について、2つの実施形態例を示して詳しく説明する。
(第1実施形態例)
ここで、図3は、監査装置T120に内蔵される第1実施形態例の計数器301の構成を示す図面である。図3を参照して、計数器301の構成について詳しく説明する。
Next, the counter built in the inspection apparatus T120 will be described in detail by showing two embodiments.
(First embodiment)
Here, FIG. 3 is a diagram showing a configuration of the counter 301 of the first embodiment built in the inspection apparatus T120. The configuration of the counter 301 will be described in detail with reference to FIG.

監査装置T120に内蔵される計数器301は、減算器C311と、比較器A312と、レジスタm314と、レジスタn313とを備える。なお、監査装置T120は、検知装置Si(i=1,2,3)の検知結果や実行履歴を記録するための記憶媒体を備えることにしてもよい。   The counter 301 built in the auditing device T120 includes a subtracter C311, a comparator A312, a register m314, and a register n313. Note that the auditing device T120 may include a storage medium for recording the detection results and execution history of the detection device Si (i = 1, 2, 3).

レジスタn303には、システムコールの監査開始(入口)から監査終了(出口)までの検知装置Siの実際の使用数nが、チェックポイントCPiの度に変化する変数として記憶される。
また、レジスタm304には、システムコールの監査開始から監査終了までの検知装置Siの予め設定された使用回数である計画数Mが、監査装置T512を介して定数として記憶される。
The register n303 stores the actual number n of detectors Si used from the start (entrance) to the end (exit) of the audit of the system call as a variable that changes at every checkpoint CPi.
In the register m304, the planned number M, which is a preset number of times of use of the detection device Si from the start of the audit of the system call to the end of the audit, is stored as a constant via the audit device T512.

減算器C311は、検知装置Siを計測する場合に動作し、システムコールの監査開始の初期動作として、レジスタn303の値をレジスタm304の値にリセットする。また、監査開始から監査終了までの間、チェックポイントCPi(i=1,2,3)の通過を確認すると、レジスタn303の値から1を減算する。   The subtractor C311 operates when measuring the detection device Si, and resets the value of the register n303 to the value of the register m304 as an initial operation for starting the audit of the system call. Further, when the passage of the check point CPi (i = 1, 2, 3) is confirmed from the start of the audit to the end of the audit, 1 is subtracted from the value of the register n303.

比較器A312は、監査装置T120を呼び出す場合に動作し、レジスタn313の値と0とを比較する。この比較において、レジスタn313が0であれば、0(正常)、0ではない場合は1(異常)を出力する。   The comparator A 312 operates when calling the auditing device T120, and compares the value of the register n313 with 0. In this comparison, if the register n313 is 0, 0 (normal) is output, and if it is not 0, 1 (abnormal) is output.

図3に示した計数器301の構成では、入力経路が2系統となっている。すなわち、計画する系統(レジスタm314)と、計測する系統(減算器C311及びレジスタn313)とである。計画する系統は、システムコールの入口で書き込みを完了し、それ以降は読み出し専門である。一方、計測する系統はシステムコールの入口で初期化され、それ以降は減算のみを実行する。このような構成をとることで、計画数M及び使用数nの改ざんを防止している。ただし、減算器C311を介して計画数Mを取得することで、入力系統を1系統とすることもできる。
また、図3に示した計数器301の構成では、出力経路が1系統となっている。したがって、監査装置T120全体への影響を及ぼすことを防止できる。
また、システムコールにおける検知装置Siの予め設定された使用回数である計画数Mは、たとえば、監査装置T120の内部の記憶領域に記憶されている。この計画数Mは、システムコールの種類に応じて設定することができる。
In the configuration of the counter 301 shown in FIG. 3, there are two input paths. That is, a planned system (register m314) and a measured system (subtractor C311 and register n313). The planned system completes the writing at the entrance of the system call, and after that, it specializes in reading. On the other hand, the system to be measured is initialized at the entrance of the system call, and thereafter only the subtraction is executed. By adopting such a configuration, falsification of the planned number M and the used number n is prevented. However, by acquiring the planned number M via the subtracter C311, the input system can be made one system.
In the configuration of the counter 301 shown in FIG. 3, the output path is one system. Therefore, it is possible to prevent the entire auditing apparatus T120 from being affected.
Further, the planned number M, which is a preset use count of the detection device Si in the system call, is stored in, for example, a storage area inside the auditing device T120. The planned number M can be set according to the type of system call.

なお、本実施形態のコンピュータシステムにおいて監査装置T120の監査対象となる監査期間は、システムコールe単位としたが、複数のシステムコールを実行するプロセスP101を監査期間として、プロセスP101の出口において監査装置T120を呼び出すことにしてもよい。この場合、監査装置T120は、プロセスP101を通しての検知装置S1(111)、S2(112)、S3(113)の計画数Mを用いて、迂回攻撃の検知を実行する。この場合、プロセスごとの検知装置Siの計画数Mを、プロセスの内部テーブルに記憶したり、監査装置T120の内部の記憶領域に記憶することができる。   In the computer system of this embodiment, the audit period to be audited by the auditing apparatus T120 is the unit of system call e. However, the process P101 for executing a plurality of system calls is set as the audit period, and the auditing apparatus is set at the exit of the process P101. You may call T120. In this case, the auditing device T120 detects a detour attack using the planned number M of the detecting devices S1 (111), S2 (112), and S3 (113) through the process P101. In this case, the planned number M of the detection device Si for each process can be stored in an internal table of the process or stored in a storage area inside the auditing device T120.

次に、前記の構成を有する本実施形態例の計数器301の動作について説明する。
ここで、図4は、計数器301の動作を説明するフローチャートである。
Next, the operation of the counter 301 of this embodiment having the above-described configuration will be described.
Here, FIG. 4 is a flowchart for explaining the operation of the counter 301.

ここでは、計画数Mが3であり、<S1,S2,S3><S1,S2,S3><S1,S2,S3><S1,S2,S3>の順に検知装置Siが呼び出される例を用いて説明する。なお、以下では、<>は、システムコールeの入口と出口を表す。   In this example, the plan number M is 3, and <S1, S2, S3> <S1, S2, S3> <S1, S2, S3> <S1, S2, S3> are called in this order. I will explain. In the following, <> represents the entrance and exit of the system call e.

まず、監査装置T120は、システムコールの入口において、レジスタm314を計画数Mにセットする。そして、減算器C311は、レジスタm314をレジスタn313に設定することでリセットする。これにより、計画数Mがレジスタ(使用数)n313にセットされる(ステップ401)。   First, the auditing device T120 sets the register m314 to the planned number M at the entrance of the system call. The subtractor C311 is reset by setting the register m314 in the register n313. As a result, the planned number M is set in the register (number of uses) n313 (step 401).

次に、減算器C311は、検知装置Si(i=1,2,3)が呼び出されたか否かを判定し(ステップ402)、呼び出された場合は(ステップ402でY)、減算器C311が、レジスタ(使用数)n313から1を減算する(ステップ403)。   Next, the subtractor C311 determines whether or not the detection device Si (i = 1, 2, 3) has been called (step 402), and if it is called (Y in step 402), the subtracter C311 1 is subtracted from the register (number of uses) n313 (step 403).

そして、比較器A312は、システムコールの出口において、監査装置T120が呼び出されたか否かを判定し(ステップ404)、監査装置T120が呼び出されない場合は(ステップ404でN)、ステップ402に戻り、再び検知装置Siが呼び出されたか否かを判定する。   Then, the comparator A 312 determines whether or not the audit device T120 is called at the exit of the system call (step 404). If the audit device T120 is not called (N in step 404), the process returns to step 402. Then, it is determined whether or not the detection device Si has been called again.

一方、監査装置T120が呼び出された場合は(ステップ404でY)、比較器A312は、レジスタn313が、0であるか否かを判定する(ステップ405)。ここで、レジスタn313が0であれば(ステップ405でY)、比較器A312は迂回攻撃無と判定して(ステップ406)、監査装置T120の戻り値として、0(正常)を出力して処理を終了する。その後、システムコールの出口に戻って、プロセスPの処理を継続し、2回目以降のシステムコールにおいても同様に繰り返す。   On the other hand, when the auditing device T120 is called (Y in Step 404), the comparator A 312 determines whether or not the register n313 is 0 (Step 405). If the register n313 is 0 (Y in step 405), the comparator A312 determines that there is no detour attack (step 406), and outputs 0 (normal) as the return value of the auditing device T120 for processing. Exit. Thereafter, returning to the exit of the system call, the processing of the process P is continued, and the same processing is repeated in the second and subsequent system calls.

ここで、例えば、<S1,S2,S3><S1,S2,S3><S1,S2><S1,S2,S3>の順に検知装置が呼び出されたとする。この場合、3回目のシステムコールでS3が呼び出されない。したがって、3回目のシステムコールは、1回目、2回目の場合と異なり、ステップ405の判定において、レジスタn313は2であるため、定数0とは一致しない(ステップ405でN)。このため、比較器A312は迂回攻撃有と判定して(ステップ407)、監査装置T120の戻り値として、1(異常)を出力して処理を終了する。その後、システムコールの出口に戻って、プロセスPの処理を継続し、2回目以降のシステムコールにおいても同様に繰り返す。   Here, for example, assume that the detection devices are called in the order of <S1, S2, S3> <S1, S2, S3> <S1, S2> <S1, S2, S3>. In this case, S3 is not called by the third system call. Therefore, unlike the first and second times, the third system call does not match the constant 0 (N in step 405) because the register n313 is 2 in the determination in step 405. Therefore, the comparator A 312 determines that there is a detour attack (step 407), outputs 1 (abnormal) as the return value of the auditing device T120, and ends the process. Thereafter, returning to the exit of the system call, the processing of the process P is continued, and the same processing is repeated in the second and subsequent system calls.

以上、説明した本実施形態では、システムコールにおいてコンピュータシステムに共通の計画数Mと使用数nとを比較する場合について説明した。本実施形態の変更例として、例えば、異なるシステムコールが実行される場合や、異なる複数のプロセスが実行される場合であっても対応可能である。その場合、各システムコール又は各プロセスの計画数Mをレジスタm314に設定する。   In the above-described embodiment, the case where the planned number M and the used number n common to the computer system in the system call are compared has been described. As a modification of the present embodiment, for example, even when different system calls are executed or when different processes are executed, it is possible to cope with them. In that case, the planned number M of each system call or process is set in the register m314.

また、実施形態では減算器C311を用いた例を説明したが、減算器C311に換えて加算器を用い、使用数nの積算値と計画数Mとを比較することでも、同様の判定が実現可能である。   In the embodiment, the example using the subtractor C311 has been described. However, the same determination can be realized by using an adder instead of the subtracter C311 and comparing the integrated value of the number n used with the planned number M. Is possible.

以上、本実施形態例に係る計数器301を備える監査装置T120によると、システムコールの出口において監査を実行するため、検知装置Siの配置によらず、迂回攻撃を検出することができる。したがって、監査装置の保守性が向上する。   As described above, according to the auditing device T120 including the counter 301 according to the present embodiment example, since the auditing is performed at the exit of the system call, it is possible to detect the detour attack regardless of the arrangement of the detection device Si. Therefore, the maintainability of the audit device is improved.

(第2実施形態例)
第1実施形態例の計数器は、システムコールごとに監査装置T120を呼び出す場合を対象とした。これに対して、第2実施形態例の計数器は、プロセス単位、つまり複数のシステムコールを束ねて監査を実施する場合を対象とする。この場合は、システムコール数あるいは使用数の累計を保持する必要があるので加算器を用いることが望ましい。
(Second Embodiment)
The counter of the first embodiment is intended for a case where the auditing device T120 is called for each system call. On the other hand, the counter of the second embodiment is intended for a case where a process unit, that is, a plurality of system calls are bundled to perform an audit. In this case, it is desirable to use an adder because it is necessary to hold the total number of system calls or usages.

ここで、図5は監査装置T120に内蔵される第2実施形態例の計数器の構成を示す図面である。図5を参照して、計数器501の構成について詳しく説明する。   Here, FIG. 5 is a drawing showing the configuration of the counter of the second embodiment incorporated in the auditing apparatus T120. The configuration of the counter 501 will be described in detail with reference to FIG.

監査装置T120に内蔵される計数器501は、加算器C1(511)と、加算器C2(513)と、乗算器(比較器514を含む)A512と、レジスタm522と、レジスタn521と、レジスタt523とを備える。本実施形態例では、第1実施形態例の装置構成との相違点を示すために、乗算器A512のなかに比較器514を備える形態をとったが、比較器514と乗算器A512とは別構成であっても構わない。また、監査装置T120は、検知装置Siの検知結果や実行履歴を記録するための記憶媒体を備えることにしてもよい。   The counter 501 built in the inspection apparatus T120 includes an adder C1 (511), an adder C2 (513), a multiplier (including a comparator 514) A512, a register m522, a register n521, and a register t523. With. In this embodiment, in order to show the difference from the apparatus configuration of the first embodiment, the comparator 514 is provided in the multiplier A512. However, the comparator 514 and the multiplier A512 are different. It may be a configuration. Further, the auditing device T120 may include a storage medium for recording the detection result and execution history of the detection device Si.

レジスタn521には、監査開始(入口)から監査終了(出口)までの検知装置Siの実際の使用数nが、チェックポイントCPiを通過するたびに変化する変数として記憶される。
また、レジスタm522には、システムコールごとの検知装置Siの予め設定された使用回数である計画数Mが、監査装置T120を介して定数として記憶される。なお、本実施形態例では、計画数Mは、システムコールの種別に関係なく、コンピュータシステム共通の値を用いることとする。
さらに、レジスタt523には、監査開始から監査終了までのシステムコールの実行回数が、システムコールの入り口のたびに変化する変数として記憶される。
The register n521 stores the actual number n of detectors Si used from the start of audit (entrance) to the end of audit (exit) as a variable that changes every time the check point CPi is passed.
In the register m522, the planned number M, which is a preset number of times of use of the detection device Si for each system call, is stored as a constant via the auditing device T120. In the present embodiment, the planned number M is a value common to the computer system regardless of the type of system call.
Further, the register t523 stores the number of executions of the system call from the start of the audit to the end of the audit as a variable that changes at every entry of the system call.

乗算器A512は、監査装置T120を呼び出す場合に動作し、その時点のレジスタm522とレジスタt523との値を乗算する。
比較器514は、レジスタn521と乗算器A512の乗算結果とを比較する。また、レジスタn521と乗算結果とが一致する場合は0(正常)、一致しない場合は1(異常)を出力する。
The multiplier A512 operates when calling the auditing device T120, and multiplies the values of the register m522 and the register t523 at that time.
The comparator 514 compares the register n521 and the multiplication result of the multiplier A512. Further, 0 (normal) is output when the register n521 matches the multiplication result, and 1 (abnormal) is output when they do not match.

加算器C1(511)は、検知装置Siを計測する場合に動作し、初期動作として、監査開始時にレジスタn521の値を0にリセットし、検知装置Siの出口においてチェックポイントCPiの通過を確認した後に、レジスタn521の値に1を加算する。   The adder C1 (511) operates when measuring the detection device Si. As an initial operation, the value of the register n521 is reset to 0 at the start of the audit, and the passage of the check point CPi is confirmed at the exit of the detection device Si. Later, 1 is added to the value of the register n521.

加算器C2(513)は、システムコールが呼び出される場合に動作し、初期動作として、監査開始時にレジスタt523の値を0にリセットし、システムコールの入口の通過を確認する度に、レジスタt523の値に1を加算する。   The adder C2 (513) operates when the system call is called. As an initial operation, the value of the register t523 is reset to 0 at the start of the audit, and whenever the system call entrance is confirmed, the adder C2 (513) Add 1 to the value.

次に、前記の構成を有する本実施形態例の計数器501の動作について説明する。
ここで、図6は、計数器301の動作を説明するフローチャートである。
Next, the operation of the counter 501 of the present embodiment having the above configuration will be described.
Here, FIG. 6 is a flowchart for explaining the operation of the counter 301.

ここでは、コンピュータシステムに共通して、検知装置Si(i=1,2,3)の使用回数である計画数Mは3であり、<S1,S2,S3><S1,S2,S3><S1,S2,S3><S1,S2,S3>の順に検知装置Siが呼び出される例を用いて説明する。なお、以下では、<>はシステムコールの入口と出口を表す。   Here, in common with computer systems, the planned number M, which is the number of times the detector Si (i = 1, 2, 3) is used, is 3, and <S1, S2, S3> <S1, S2, S3> < A description will be given using an example in which the detection device Si is called in the order of S1, S2, S3> <S1, S2, S3>. In the following, <> represents the entry and exit of a system call.

まず、監査装置T120は、システムコールの入口において、レジスタm522を計画数M(=3)にセットする(ステップ601)。そして、加算器C1(511)は、レジスタ(使用数)n521を0にセットし(ステップS602)、加算器C2(513)は、レジスタ(システムコール数)t523を0にセットする(ステップ603)。   First, the auditing device T120 sets the register m522 to the planned number M (= 3) at the entrance of the system call (step 601). The adder C1 (511) sets the register (use number) n521 to 0 (step S602), and the adder C2 (513) sets the register (system call number) t523 to 0 (step 603). .

次に、監査用の計測が開始され、加算器C2(513)は、システムコールが発行されたか否かを判定する(ステップ604)。ここで、システムコールを検出した場合は(ステップ604でY)、レジスタ(システムコール数)t523を1だけ加算して(ステップ605)、ステップ604の判定に戻る。   Next, auditing measurement is started, and the adder C2 (513) determines whether or not a system call has been issued (step 604). If a system call is detected (Y in step 604), the register (number of system calls) t523 is incremented by 1 (step 605), and the process returns to the determination in step 604.

一方、システムコールを検出しない場合は(ステップ604でN)、加算器C1(511)は、検知装置Si(i=1,2,3)が呼び出されたか否かを判定し(ステップ606)、呼び出された場合は(ステップ606でY)、加算器C1(511)が、レジスタ(使用数)nに1を加算して(ステップ607)、ステップ604の判定に戻る。   On the other hand, when the system call is not detected (N in Step 604), the adder C1 (511) determines whether or not the detection device Si (i = 1, 2, 3) is called (Step 606). If called (Y in Step 606), the adder C1 (511) adds 1 to the register (number of uses) n (Step 607) and returns to the determination in Step 604.

一方、検知装置Siが呼び出されない場合は(ステップ606でN)、乗算器A512は、システムコールの出口において、監査装置T120が呼び出されたか否かを判定し(ステップ608)、監査装置T120が呼び出されない場合は(ステップ608でN)、ステップ604に戻って、システムコールの発行及び検知装置Siの呼び出しの検知を繰り返す。   On the other hand, when the detection device Si is not called (N in step 606), the multiplier A512 determines whether or not the auditing device T120 is called at the exit of the system call (step 608). If not called (N in step 608), the process returns to step 604 to repeat the issuance of the system call and the detection of the calling of the detection device Si.

一方、監査装置T120が呼び出された場合は(ステップ608でY)、監査用の計測を終了して、乗算器A512は、レジスタ(計画数)m522とレジスタ(システムコール数)t523とを参照して(ステップ609)、レジスタm522の値とレジスタt523の値とを掛け合わせた累計数(m×t)を計算する(ステップ610)。
そして、比較器514は、レジスタ(使用数)n521を参照して(ステップ611)、レジスタ(使用数)n521の値と、累計数(m×t)とが一致するか否かを判定する(ステップ612)。
On the other hand, when the auditing device T120 is called (Y in Step 608), the measurement for auditing is terminated, and the multiplier A512 refers to the register (plan number) m522 and the register (system call number) t523. (Step 609), the cumulative number (m × t) obtained by multiplying the value of the register m522 and the value of the register t523 is calculated (step 610).
Then, the comparator 514 refers to the register (use number) n521 (step 611) and determines whether or not the value of the register (use number) n521 matches the cumulative number (m × t) ( Step 612).

この例では、レジスタt523の値は4であり、レジスタm522の値は3であり、レジスタn521の値は12であるため、レジスタn521の値と、累計数(m×t)とが一致し(ステップ612でY)、比較器514は迂回攻撃無と判定して(ステップ613)、監査装置T120の戻り値として、0(正常)を出力して処理を終了する。その後、システムコールの出口に戻り、次のプロセスの処理を継続する。   In this example, since the value of the register t523 is 4, the value of the register m522 is 3, and the value of the register n521 is 12, the value of the register n521 matches the cumulative number (m × t) ( In step 612, Y), the comparator 514 determines that there is no detour attack (step 613), outputs 0 (normal) as the return value of the auditing device T120, and ends the process. Then, return to the exit of the system call and continue processing the next process.

ここで、<S1,S2,S3><S1,S2,S3><S1,S2><S1,S2,S3>の順に検知装置が呼び出される例を用いて、図6に示したフローチャートにおいて迂回攻撃を検出する場合を説明する。この例では、3回目のシステムコールで検知装置S3が呼び出されなかった。   Here, using the example in which the detection devices are called in the order of <S1, S2, S3> <S1, S2, S3> <S1, S2> <S1, S2, S3>, a detour attack in the flowchart shown in FIG. The case of detecting the will be described. In this example, the detection device S3 is not called by the third system call.

この場合、レジスタt523の値は4であり、レジスタm522の値は3であり、レジスタn521の値は11であるため、レジスタn521の値と、累計数(m×t)とが一致しないため(ステップ612でN)、比較器514は迂回攻撃有と判定して(ステップ614)、監査装置T120の戻り値として、1(異常)を出力して処理を終了する。その後、システムコールの出口に戻り、次のプロセスの処理を継続する。   In this case, since the value of the register t523 is 4, the value of the register m522 is 3, and the value of the register n521 is 11, the value of the register n521 does not match the cumulative number (m × t) ( In step 612, N), the comparator 514 determines that there is a detour attack (step 614), outputs 1 (abnormal) as the return value of the auditing device T120, and ends the process. Then, return to the exit of the system call and continue processing the next process.

以上の説明では、検知装置S1、S2、S3は、レジスタnを用いて併せて累計している。そのため、厳密には検出漏れが発生する危険性がある。たとえば、正常<S1,S2,S3><S1,S2,S3><S1,S2,S3>に対して、異常<S1,S2,S3><S1,S3><S1,S1,S2,S3>を検出できない。しかし、レジスタnの代わりに、検知装置Si(i=1,2,3)ごとにレジスタn1、n2、n3を備えることで、別途検証することができる。この例では、正常値が、n1=n2=n3=3であるのに対し、n1=4、n2=2、n3=3であるため、各レジスタを比較することで異常を検出することができる。   In the above description, the detection devices S1, S2, and S3 are accumulated together using the register n. Therefore, strictly speaking, there is a risk of detection failure. For example, for normal <S1, S2, S3> <S1, S2, S3> <S1, S2, S3>, abnormal <S1, S2, S3> <S1, S3> <S1, S1, S2, S3> Cannot be detected. However, in place of the register n, each of the detection devices Si (i = 1, 2, 3) includes the registers n1, n2, and n3, so that verification can be performed separately. In this example, the normal value is n1 = n2 = n3 = 3, but n1 = 4, n2 = 2, and n3 = 3. Therefore, an abnormality can be detected by comparing each register. .

以上説明した本実施形態例に係る計数器を備える監査装置T120によると、複数のシステムコールをまとめて、迂回攻撃の検出をすることができる。また、システムコールの種類に関係なく適用可能であり、監査装置T120を柔軟に運用することができる。   According to the auditing apparatus T120 including the counter according to the present embodiment described above, a bypass attack can be detected by collecting a plurality of system calls. Further, the present invention can be applied regardless of the type of system call, and the auditing device T120 can be flexibly operated.

システムコールの出口に監査装置を設置するコンピュータシステムのブロック図である。It is a block diagram of the computer system which installs an audit device in the exit of a system call. 検知装置の使用数を計測する手順を説明するシーケンス図である。It is a sequence diagram explaining the procedure which measures the usage-amount of a detection apparatus. 第1実施形態例に係る計数器の構成を示す図面である。It is drawing which shows the structure of the counter which concerns on the example of 1st Embodiment. 第1実施形態例に係る計数器の動作を説明するフローチャートである。It is a flowchart explaining operation | movement of the counter which concerns on the example of 1st Embodiment. 第2実施形態例に係る計数器の構成を示す図面である。It is drawing which shows the structure of the counter which concerns on the example of 2nd Embodiment. 第2実施形態例に係る計数器の動作を説明するフローチャートである。It is a flowchart explaining operation | movement of the counter which concerns on the example of 2nd Embodiment.

符号の説明Explanation of symbols

101 プロセスP
102 カーネルK
111 検知装置S1
112 検知装置S2
113 検知装置S3
120 監査装置T
312 比較器A
311 減算器C
313,521 レジスタn
314,522 レジスタm
512 乗算器A
514 比較器
523 レジスタt
101 Process P
102 Kernel K
111 Detector S1
112 Detector S2
113 Detection device S3
120 Audit equipment T
312 Comparator A
311 Subtractor C
313,521 Register n
314, 522 register m
512 Multiplier A
514 Comparator 523 Register t

Claims (10)

プロセスの実行順序に従って呼び出す複数の侵入検知装置を備えるコンピュータシステムにおいて、前記侵入検知装置を迂回する迂回攻撃を検知する監査装置が実行する攻撃検出方法であって、
前記監査装置が、
前記コンピュータシステムで実行される所定の処理単位における前記侵入検知装置の使用回数を計測し、
前記所定の処理単位において、すべての前記侵入検知装置の使用後に、前記計測した使用回数と予め設定された前記侵入検知装置の使用数である計画数とを比較し、
前記計測した使用回数と前記計画数が一致しない場合に、異常を示す信号を出力する
ことを特徴とする攻撃検出方法。
In a computer system comprising a plurality of intrusion detection devices that are called according to the execution order of processes, an attack detection method executed by an auditing device that detects a detour attack that bypasses the intrusion detection device,
The audit device is
Measuring the number of times the intrusion detection device is used in a predetermined processing unit executed in the computer system;
In the predetermined processing unit, after using all of the intrusion detection devices, compare the measured number of times of use with a planned number of preset use of the intrusion detection device,
An attack detection method comprising: outputting a signal indicating abnormality when the measured number of uses and the planned number do not match.
前記使用回数は、各前記侵入検知装置が使用されたことを示す信号を受信することで計測される
ことを特徴とする請求項1に記載の攻撃検出方法。
The attack detection method according to claim 1, wherein the number of uses is measured by receiving a signal indicating that each intrusion detection device has been used.
プロセスの実行順序に従って呼び出す複数の侵入検知装置を備えるコンピュータシステムにおいて、前記侵入検知装置を迂回する迂回攻撃を検知する監査装置が実行する攻撃検出方法であって、
前記監査装置は、第1レジスタ、第2レジスタ、減算器及び比較器を備え、
前記コンピュータシステムで実行される所定の処理単位において、予め設定された前記侵入検知装置の使用数である計画数が、前記第1レジスタに記憶され、
前記減算器が、前記所定の処理単位の入口において、前記第1レジスタの値を前記第2レジスタの初期値に設定し、
前記減算器が、前記侵入検知装置が使用されたことを示す信号を取得すると、前記第2レジスタから1を減算し、
前記比較器が、前記所定の処理単位の出口において、前記第2レジスタの値が0でなければ異常と判定する
ことを特徴とする攻撃検出方法。
In a computer system comprising a plurality of intrusion detection devices that are called according to the execution order of processes, an attack detection method executed by an auditing device that detects a detour attack that bypasses the intrusion detection device,
The audit device includes a first register, a second register, a subtractor, and a comparator,
In a predetermined processing unit executed in the computer system, a planned number that is a preset number of use of the intrusion detection device is stored in the first register,
The subtractor sets the value of the first register to the initial value of the second register at the entrance of the predetermined processing unit;
When the subtractor obtains a signal indicating that the intrusion detection device has been used, it subtracts 1 from the second register,
The attack detection method, wherein the comparator determines that the value of the second register is not 0 at the exit of the predetermined processing unit unless the value of the second register is 0.
前記所定の処理単位は、前記プロセスが発行するシステムコールであり、前記計画数は、前記システムコールごとに設定された値である
ことを特徴とする請求項1ないし請求項3のいずれか1項に記載の攻撃検出方法。
4. The system according to claim 1, wherein the predetermined processing unit is a system call issued by the process, and the planned number is a value set for each system call. 5. The attack detection method described in 1.
前記所定の処理単位は、前記プロセスであり、前記計画数は、前記プロセスごとに設定された値である
ことを特徴とする請求項1ないし請求項3のいずれか1項に記載の攻撃検出方法。
The attack detection method according to any one of claims 1 to 3, wherein the predetermined processing unit is the process, and the planned number is a value set for each of the processes. .
プロセスの実行順序に従って呼び出す複数の侵入検知装置を備えるコンピュータシステムにおいて、前記侵入検知装置を迂回する迂回攻撃を検知する監査装置が実行する攻撃検出方法であって、
前記監査装置は、第1レジスタ、第2レジスタ、第3レジスタ、第1加算器、第2加算器、乗算器及び比較器を備え、
前記プロセスが発行するシステムコールにおいて、予め設定された前記侵入検知装置の使用数である計画数が、前記第1レジスタに記憶され、
前記プロセスの入口において、前記第1加算器が前記第2レジスタを0に設定して、前記第2加算器が前記第3レジスタを0に設定し、
前記第2加算器が、前記システムコールが発行されるたびに、前記第3レジスタの値に1を加算し、
前記第1加算器が、前記プロセスにおいて、前記侵入検知装置が使用されたことを示す信号を取得するたびに前記第2レジスタに1を加算し、
前記乗算器が、前記プロセスの出口において、前記第2レジスタ及び前記第3レジスタの値を乗算して出力し、
前記比較器が、前記乗算器の出力と、前記第1レジスタの値とが一致しない場合に、異常を示す信号を出力する
ことを特徴とする攻撃検出方法。
In a computer system comprising a plurality of intrusion detection devices that are called according to the execution order of processes, an attack detection method executed by an auditing device that detects a detour attack that bypasses the intrusion detection device,
The audit device includes a first register, a second register, a third register, a first adder, a second adder, a multiplier, and a comparator,
In the system call issued by the process, a planned number that is a preset number of use of the intrusion detection device is stored in the first register,
At the entrance of the process, the first adder sets the second register to 0, the second adder sets the third register to 0,
The second adder adds 1 to the value of the third register each time the system call is issued,
Each time the first adder obtains a signal indicating that the intrusion detection device has been used in the process, it adds 1 to the second register,
The multiplier multiplies and outputs the values of the second and third registers at the exit of the process;
The attack detection method, wherein the comparator outputs a signal indicating an abnormality when the output of the multiplier does not match the value of the first register.
プロセスの実行順序に従って呼び出す複数の侵入検知装置を備えるコンピュータシステムにおいて、前記侵入検知装置を迂回する迂回攻撃を検知する監査装置であって、
前記コンピュータシステムで実行される所定の処理単位において、予め設定された前記侵入検知装置の使用数である計画数を記憶する第1レジスタと、
前記侵入検知装置が使用されるたびに減算される第2レジスタと、
前記所定の処理単位の入口において、前記第1レジスタの値を、前記第2レジスタに記憶し、前記所定の処理単位において、前記侵入検知装置が使用されたことを示す信号を取得するたびに前記第2レジスタから1を減算する減算器と、
前記所定の処理単位の出口において、前記第2レジスタが0であるか否かを判定し、0ではない場合に、異常を示す信号を出力する比較器と、
を備えることを特徴とする監査装置。
In a computer system comprising a plurality of intrusion detection devices that are called in accordance with the execution order of processes, an audit device that detects a detour attack that bypasses the intrusion detection device,
A first register that stores a planned number that is a preset number of use of the intrusion detection device in a predetermined processing unit executed in the computer system;
A second register that is subtracted each time the intrusion detection device is used;
The value of the first register is stored in the second register at the entrance of the predetermined processing unit, and the signal indicating that the intrusion detection device is used in the predetermined processing unit is obtained each time A subtractor for subtracting 1 from the second register;
A comparator that determines whether or not the second register is 0 at an exit of the predetermined processing unit, and outputs a signal indicating an abnormality when the second register is not 0;
An auditing apparatus comprising:
前記所定の処理単位は、前記プロセスが発行するシステムコールであり、前記計画数は、前記システムコールごとに設定された値である
ことを特徴とする請求項7に記載の監査装置。
The audit apparatus according to claim 7, wherein the predetermined processing unit is a system call issued by the process, and the planned number is a value set for each system call.
前記所定の処理単位は、前記プロセスであり、前記計画数は、前記プロセスごとに設定された値である
ことを特徴とする請求項8に記載の監査装置。
The audit apparatus according to claim 8, wherein the predetermined processing unit is the process, and the planned number is a value set for each process.
プロセスの実行順序に従って呼び出す複数の侵入検知装置を備えるコンピュータシステムにおいて、前記侵入検知装置を迂回する迂回攻撃を検知する監査装置であって、
前記プロセスが発行するシステムコールにおいて、予め設定された前記侵入検知装置の使用数である計画数を記憶する第1レジスタと、
前記侵入検知装置の実際の使用数が記憶される第2レジスタと、
前記システムコールの発行数が記憶される第3のレジスタと、
前記プロセスの入口において、前記第2レジスタを0に設定し、前記プロセスにおいて、前記侵入検知装置が使用されたことを示す信号を取得するたびに前記第2レジスタに1を加算する第1加算器と、
前記プロセスの入口において、前記第3レジスタを0に設定し、前記システムコールが発行されるたびに前記第3レジスタの値に1を加算する第2加算器と、
前記プロセスの出口において、前記第2レジスタ及び前記第3レジスタの値を乗算して出力する乗算器と、
前記乗算器の出力と、前記第1レジスタの値とが一致しない場合に、異常を示す信号を出力する比較器と、
を備えることを特徴とする監査装置。
In a computer system comprising a plurality of intrusion detection devices that are called in accordance with the execution order of processes, an audit device that detects a detour attack that bypasses the intrusion detection device,
In a system call issued by the process, a first register that stores a plan number that is a preset use number of the intrusion detection device;
A second register in which the actual number of intrusion detection devices used is stored;
A third register for storing the number of issued system calls;
A first adder that sets the second register to 0 at the entrance of the process and adds 1 to the second register each time a signal indicating that the intrusion detection device is used in the process is acquired. When,
A second adder that sets the third register to 0 at the entrance of the process and adds 1 to the value of the third register each time the system call is issued;
A multiplier for multiplying and outputting values of the second register and the third register at an exit of the process;
A comparator that outputs a signal indicating an abnormality when the output of the multiplier does not match the value of the first register;
An auditing apparatus comprising:
JP2007083877A 2007-03-28 2007-03-28 Attack detection method and audit device Pending JP2008242915A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007083877A JP2008242915A (en) 2007-03-28 2007-03-28 Attack detection method and audit device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007083877A JP2008242915A (en) 2007-03-28 2007-03-28 Attack detection method and audit device

Publications (1)

Publication Number Publication Date
JP2008242915A true JP2008242915A (en) 2008-10-09

Family

ID=39914166

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007083877A Pending JP2008242915A (en) 2007-03-28 2007-03-28 Attack detection method and audit device

Country Status (1)

Country Link
JP (1) JP2008242915A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011003132A (en) * 2009-06-22 2011-01-06 Nippon Telegr & Teleph Corp <Ntt> Access control system, access controller and access control method
CN103036742A (en) * 2012-12-19 2013-04-10 迈普通信技术股份有限公司 Communication equipment batch testing control method and system thereof
KR101566409B1 (en) * 2009-04-14 2015-11-05 삼성전자주식회사 Method for detection of the program attack

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101566409B1 (en) * 2009-04-14 2015-11-05 삼성전자주식회사 Method for detection of the program attack
JP2011003132A (en) * 2009-06-22 2011-01-06 Nippon Telegr & Teleph Corp <Ntt> Access control system, access controller and access control method
CN103036742A (en) * 2012-12-19 2013-04-10 迈普通信技术股份有限公司 Communication equipment batch testing control method and system thereof

Similar Documents

Publication Publication Date Title
KR101921052B1 (en) Method and apparatus for identifying security vulnerability and cause point thereof of executable binaries
US10839077B2 (en) Detecting malicious software
US9146833B2 (en) System and method for correct execution of software based on a variance between baseline and real time information
US10733296B2 (en) Software security
US20070266435A1 (en) System and method for intrusion detection in a computer system
EP3121749B1 (en) Method and apparatus for ensuring control flow integrity
EP2118802A1 (en) Automatic vulnerability detection and response
JP5495310B2 (en) Information processing apparatus, failure analysis method, and failure analysis program
WO2021084961A1 (en) Analysis device and analysis method
JP2010257150A (en) Device and method for detection of fraudulence processing, and program
CN113544676B (en) Attack estimation device, attack estimation method, and recording medium
US20170344746A1 (en) Utilizing likely invariants for runtime protection of web services
US7171586B1 (en) Method and apparatus for identifying mechanisms responsible for “no-trouble-found” (NTF) events in computer systems
JP2008242915A (en) Attack detection method and audit device
CN116340931A (en) RASP-based SCA linkage protection method, device, equipment and medium
US8176560B2 (en) Evaluation of tamper resistant software system implementations
US10929253B2 (en) Systems and methods for safety analysis including consideration of dependent failures
KR100985071B1 (en) Method and Apparatus for detection and prevention malicious code using script languages for computer system
CN115374430A (en) Information leakage detection method and device, storage medium and electronic equipment
JP7008879B2 (en) Information processing equipment, information processing methods and information processing programs
KR102358754B1 (en) Apparatus and method for controlling assertion of a trigger signal to a processing circuit
CN112204528A (en) Inspection device, inspection method, and inspection program
EP3394786B1 (en) Software security
US8316441B2 (en) System for protecting information
WO2023073822A1 (en) Backdoor detection device, backdoor detection method, and recording medium