Libra: 侵入検知システムのデータベースを
実行時間情報から推測するためのツール
発表者: 大山恵弘 (東京大学, JST)
コンセプト: “IDSへのタイミング攻撃”
•警報が出うる全操作列を実行
•各操作にかかる時間を記録
Libra
•時間情報をもとに、各操作に
対し警告が出たかどうか推測。
DBを復元
write open mmap stat read
侵入検知システム(IDS)
警報
read
データベース
正常とみなす操作群:
[open, fstat, read],
[mmap, read, close],
[write, write, read],
[chdir, open, stat],
[socketcall, read,
read],
[stat, read, read],
…
警報
実行時間にわずかな
差が生じる!!
OS
DBが知られる結果起こる脅威:
•以後そのIDSの検知回避が容易になる
•そのIDS自体への攻撃に道を開く
•有償DBがリバースエンジニアリング
されて(盗まれて)広く流通する
実験
環境:
•x86 SMP (4 × Pentium 4)
•Debian GNU/Linux
(kernel version 2.4.14)
DBを推測されないための対策:
•警告を出す処理を重くしない
•IDSの各処理に乱数遅延を入れる
•怪しいプログラムはすぐ止める
(推測に必要な操作列を実行させない)
Apache 1.3.28を監視するためのDB
DBに含まれる3つ組
93
IDS:
•ForrestらのpH方式に基づくシステム
•DB = システムコール3つ組の集合
DB内容の64%の推測に成功
(ただしfalse positive rate 32%)
8664
165
78
推測した3つ組
ダウンロード

Libra