A funcionalidade de pesquisa está em construção.
A funcionalidade de pesquisa está em construção.

The original paper is in English. Non-English content has been machine-translated and may contain typographical errors or mistranslations. ex. Some numerals are expressed as "XNUMX".
Copyrights notice

The original paper is in English. Non-English content has been machine-translated and may contain typographical errors or mistranslations. Copyrights notice

ROPminer: Learning-Based Static Detection of ROP Chain Considering Linkability of ROP Gadgets ROPminer: Detecção estática baseada em aprendizagem da cadeia ROP considerando a capacidade de ligação de dispositivos ROP

Toshinori USUI, Tomonori IKUSE, Yuto OTSUKI, Yuhei KAWAKOYA, Makoto IWAMURA, Jun MIYOSHI, Kanta MATSUURA

  • Exibições de texto completo

    0

  • Cite isto

Resumo:

A programação orientada ao retorno (ROP) tem sido crucial para que os invasores evitem os mecanismos de segurança dos sistemas operacionais recentes. Embora as abordagens de detecção de ROP existentes se concentrem principalmente em sistemas de detecção de intrusão baseados em host (HIDSes), os sistemas de detecção de intrusões baseados em rede (NIDSes) também são desejados para proteger vários hosts, incluindo dispositivos IoT na rede. No entanto, as abordagens existentes não são suficientes para a proteção em nível de rede devido a dois problemas: (1) As abordagens dinâmicas levam tempo, em média, de segunda ou de minuto para inspeção. Para aplicação em NIDSes, é necessária uma ordem de milissegundos para obter detecção quase em tempo real. (2) As abordagens estáticas geram falsos positivos porque utilizam padrões heurísticos. Para aplicação aos NIDSes, os falsos positivos devem ser minimizados para suprimir falsos alarmes. Neste artigo, propomos um método para detectar estaticamente cadeias ROP em dados maliciosos, aprendendo as bibliotecas alvo (ou seja, as bibliotecas usadas para dispositivos ROP). Nosso método acelera sua inspeção coletando exaustivamente dispositivos ROP viáveis ​​nas bibliotecas alvo e aprendendo-os separadamente da etapa de inspeção. Além disso, reduzimos os falsos positivos inevitáveis ​​para a inspeção estática existente, verificando estaticamente se uma sequência de bytes suspeita pode ser vinculada corretamente quando executada como uma cadeia ROP. Resultados experimentais mostraram que nosso método alcançou detecção de cadeia ROP de ordem de milissegundos com alta precisão.

Publicação
IEICE TRANSACTIONS on Information Vol.E103-D No.7 pp.1476-1492
Data de publicação
2020/07/01
Publicitada
2020/04/07
ISSN online
1745-1361
DOI
10.1587/transinf.2019ICP0016
Tipo de Manuscrito
Special Section PAPER (Special Section on Information and Communication System Security)
Categoria
Segurança de rede e sistema

autores

Toshinori USUI
  NTT Secure Platform Laboratories,The University of Tokyo
Tomonori IKUSE
  NTT Secure Platform Laboratories
Yuto OTSUKI
  NTT Secure Platform Laboratories
Yuhei KAWAKOYA
  NTT Secure Platform Laboratories
Makoto IWAMURA
  NTT Secure Platform Laboratories
Jun MIYOSHI
  NTT Secure Platform Laboratories
Kanta MATSUURA
  The University of Tokyo

Palavra-chave