抄録
L-031
SVMを用いたWindows向け異常検知システムの実装と評価
SVMを用いたWindows向け異常検知システムの実装と評価
○伊波 靖(沖縄高専)・高良富夫(琉球大)
Windows 系の OS においては危険なシステムコールによる OS へ
の攻撃を予め登録されたアクセス制御データベース (ACD) に基づ
き検知し,実行を阻止するWHIPSと呼ばれるシステムの提案が行わ
れているが ACD として予め危険なプロセスとシステムコール及び引数をルールとして登録する必要があり,未知の危険なプログラムへの対応が困難であった.
そこで,本研究では,我々が提案したSVMを用いたシステムの資源
に影響を与える危険なシステムコールに着目した異常検知手法を
WHIPSへ実装することで,高い検知率と False Positive の割合を減少させた異常検知システムを開発し,評価実験により有効性を検証した。
の攻撃を予め登録されたアクセス制御データベース (ACD) に基づ
き検知し,実行を阻止するWHIPSと呼ばれるシステムの提案が行わ
れているが ACD として予め危険なプロセスとシステムコール及び引数をルールとして登録する必要があり,未知の危険なプログラムへの対応が困難であった.
そこで,本研究では,我々が提案したSVMを用いたシステムの資源
に影響を与える危険なシステムコールに着目した異常検知手法を
WHIPSへ実装することで,高い検知率と False Positive の割合を減少させた異常検知システムを開発し,評価実験により有効性を検証した。