Libra: 侵入検知システムのデータベースを
実行時間情報から推測するためのツール
発表者： 大山恵弘 （東京大学, JST）
コンセプト: “IDSへのタイミング攻撃”
•警報が出うる全操作列を実行
•各操作にかかる時間を記録
Libra
•時間情報をもとに、各操作に
対し警告が出たかどうか推測。
DBを復元
write open mmap stat read
侵入検知システム（IDS）
警報
read
データベース
正常とみなす操作群：
[open, fstat, read],
[mmap, read, close],
[write, write, read],
[chdir, open, stat],
[socketcall, read,
read],
[stat, read, read],
…
警報
実行時間にわずかな
差が生じる！！
ＯＳ
DBが知られる結果起こる脅威：
•以後そのIDSの検知回避が容易になる
•そのIDS自体への攻撃に道を開く
•有償DBがリバースエンジニアリング
されて（盗まれて）広く流通する
実験
環境：
•x86 SMP (4 × Pentium 4)
•Debian GNU/Linux
(kernel version 2.4.14)
DBを推測されないための対策：
•警告を出す処理を重くしない
•IDSの各処理に乱数遅延を入れる
•怪しいプログラムはすぐ止める
（推測に必要な操作列を実行させない）
Apache 1.3.28を監視するためのDB
DBに含まれる3つ組
93
IDS:
•ForrestらのpH方式に基づくシステム
•DB ＝ システムコール3つ組の集合
DB内容の64％の推測に成功
（ただしfalse positive rate 32%）
8664
165
78
推測した3つ組