|
早稲田大学
中島 達夫
教授
機関別共同研究
Discovery Saga
論文分野別Discovery Saga
研究テーマDiscovery Saga
協賛企業
共同研究先:Nvidia
Corporate
共同研究数 1
Article
2013
IEEE : Institute of Electrical and Electronics Engineers
Monitoring integrity using limited local memory
(Last author)
限られたローカルメモリを用いた完全性監視
Yuki Kinebuchi, Shakeel Butt, Vinod Ganapathy, Liviu Iftode, Tatsuo Nakajima
IEEE Transactions on Information Forensics and Security
【抄録】
System integrity monitors, such as rootkit detectors, rely critically on the ability to fetch and inspect pages containing code and data of a target system under study. To avoid being infected by malicious or compromised targets, state-of-the-art system integrity monitors rely on virtualization technology to set up a tamper-proof execution environment. Consequently, the virtualization infrastructure is part of the trusted computing base. However, modern virtual machine monitors are complex entities, with large code bases that are difficult to verify. In this paper, we present a new machine architecture called limited local memory (LLM), which we use to set up an alternative tamper-proof execution environment for system integrity monitors. This architecture builds upon recent trends in multicore chip design to equip each processing core with access to a small, private memory area. We show that the features of the LLM architecture, combined with a novel secure paging mechanism, suffice to bootstrap a tamper-proof execution environment without support for hardware virtualization. We demonstrate the utility of this architecture by building a rootkit detector that leverages the key features of LLM. This rootkit detector can safely inspect a target operating system without itself becoming the victim of infection. © 2005-2012 IEEE.
【抄録日本語訳】
ルートキット検出器などのシステムインテグリティモニタは、調査対象のシステムのコードとデータを含むページを取得して検査する能力に決定的に依存しています。悪意のあるターゲットや侵害されたターゲットからの感染を避けるために、最先端のシステムインテグリティモニタは、仮想化技術に依存して、改ざんされない実行環境を構築しています。その結果、仮想化基盤は信頼できるコンピューティング基盤の一部となります。しかし、最新の仮想マシンモニターは複雑な存在であり、検証の難しい大規模なコードベースを有しています。本論文では、Limited Local Memory (LLM) と呼ばれる新しいマシンアーキテクチャを紹介し、これを用いてシステム完全性監視のための代替的な改ざん防止実行環境を構築する。このアーキテクチャは、近年のマルチコアチップ設計のトレンドに基づき、各処理コアが小さなプライベートメモリ領域へアクセスできるようにしたものである。LLMアーキテクチャの特徴と新しいセキュアページングメカニズムを組み合わせることで、ハードウェア仮想化をサポートせずに改ざん防止実行環境を構築するのに十分であることを示す。また、LLMの主要な機能を活用したルートキット検出器を構築し、このアーキテクチャの有用性を実証しています。このルートキット検出器は、自身が感染の犠牲となることなく、ターゲットOSを安全に検査することができます。© 2005-2012 ieee.