論文の概要: Trace of the Times: Rootkit Detection through Temporal Anomalies in Kernel Activity

• arxiv url: http://arxiv.org/abs/2503.02402v1
• Date: Tue, 04 Mar 2025 08:43:38 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-03-05 19:12:46.503859
• Title: Trace of the Times: Rootkit Detection through Temporal Anomalies in Kernel Activity
• Title（参考訳）: カーネル活動における時間的異常によるルートキット検出
• Authors: Max Landauer, Leonhard Alton, Martina Lindorfer, Florian Skopik, Markus Wurzenberger, Wolfgang Hotwagner,
• Abstract要約: カーネルルートキットはステルス操作を可能にするため、検出が困難である。 既存の検出アプローチは、新しいルートキットを検出できないシグネチャや、検出すべきルートキットに関するドメイン知識を必要とするシグネチャに依存している。 我々のフレームワークはカーネルにプローブを注入し、関連するシステムコール内の関数のタイムスタンプを測定し、関数の実行時間の分布を計算し、統計的テストを用いて時間シフトを検出する。 公開されているデータセットに対するオープンソース実装の評価は、システム状態の異なる5つのシナリオでF1スコア98.7%の高い検出精度を示している。
• 参考スコア（独自算出の注目度）: 2.900892566337075
• License:
• Abstract: Kernel rootkits provide adversaries with permanent high-privileged access to compromised systems and are often a key element of sophisticated attack chains. At the same time, they enable stealthy operation and are thus difficult to detect. Thereby, they inject code into kernel functions to appear invisible to users, for example, by manipulating file enumerations. Existing detection approaches are insufficient, because they rely on signatures that are unable to detect novel rootkits or require domain knowledge about the rootkits to be detected. To overcome this challenge, our approach leverages the fact that runtimes of kernel functions targeted by rootkits increase when additional code is executed. The framework outlined in this paper injects probes into the kernel to measure time stamps of functions within relevant system calls, computes distributions of function execution times, and uses statistical tests to detect time shifts. The evaluation of our open-source implementation on publicly available data sets indicates high detection accuracy with an F1 score of 98.7\% across five scenarios with varying system states.
• Abstract（参考訳）: カーネルルートキットは敵に侵入されたシステムへの恒久的な高特権アクセスを提供し、しばしば高度な攻撃チェーンの重要な要素である。 同時に、ステルス操作が可能であり、検出が困難である。 これにより、カーネル関数にコードを注入して、例えばファイル列挙を操作することで、ユーザに見えないようにすることができる。 既存の検出アプローチは、新しいルートキットを検出できない、または検出されるルートキットに関するドメイン知識を必要とするシグネチャに依存するため、不十分である。 この課題を克服するために、我々は、追加のコードを実行すると、ルートキットをターゲットとしたカーネル関数のランタイムが増加するという事実を活用している。 本稿では,カーネルにプローブを注入し,関連するシステムコール内の関数のタイムスタンプを計測し,関数実行時間の分布を計算し,統計的テストを用いて時間シフトを検出する。 公開データセット上でのオープンソース実装の評価は,システム状態の異なる5つのシナリオに対して,F1スコア98.7\%の高精度な検出精度を示す。

関連論文リスト

• Exploring Temporally-Aware Features for Point Tracking [58.63091479730935]
  Chronoは、時間的認識を組み込んだポイントトラッキング用に特別に設計された機能バックボーンである。 Chronoは、TAP-Vid-DAVISとTAP-Vid-Kineticsデータセットの洗練されたフリー設定で最先端のパフォーマンスを実現する。
  論文  参考訳（メタデータ） (2025-01-21T15:39:40Z)
• JITScanner: Just-in-Time Executable Page Check in the Linux Operating System [6.725792100548271]
  JITScannerはLoadable Kernel Module (LKM)上に構築されたLinux指向パッケージとして開発されている。 スケーラブルなマルチプロセッサ/コア技術を使用してLKMと効率的に通信するユーザレベルのコンポーネントを統合する。 JITScannerによるマルウェア検出の有効性と、通常のランタイムシナリオにおける最小限の侵入が広くテストされている。
  論文  参考訳（メタデータ） (2024-04-25T17:00:08Z)
• GuardFS: a File System for Integrated Detection and Mitigation of Linux-based Ransomware [8.576433180938004]
  GuardFSは、ランサムウェアの検出と緩和を統合するファイルシステムベースのアプローチである。 bespokeオーバーレイファイルシステムを使用して、ファイルにアクセスする前にデータを抽出する。 このデータに基づいてトレーニングされたモデルは、ファイルシステムへのアクセスを難なくし、遅延し、追跡する3つの新しい防御構成によって使用される。
  論文  参考訳（メタデータ） (2024-01-31T15:33:29Z)
• A Spatial-Temporal Deformable Attention based Framework for Breast Lesion Detection in Videos [107.96514633713034]
  本稿では,STNet という空間的・時間的変形可能なアテンションベースのフレームワークを提案する。 我々のSTNetは、局所的な空間的時間的特徴融合を行うために、空間的時間的変形可能なアテンションモジュールを導入している。 乳腺病変の超音波画像データセットを用いた実験により,STNetは最先端の検出性能を得ることができた。
  論文  参考訳（メタデータ） (2023-09-09T07:00:10Z)
• PULL: Reactive Log Anomaly Detection Based On Iterative PU Learning [58.85063149619348]
  本稿では,推定故障時間ウィンドウに基づくリアクティブ異常検出のための反復ログ解析手法PULLを提案する。 我々の評価では、PULLは3つの異なるデータセットで10のベンチマークベースラインを一貫して上回っている。
  論文  参考訳（メタデータ） (2023-01-25T16:34:43Z)
• An Adaptive Black-box Backdoor Detection Method for Deep Neural Networks [25.593824693347113]
  ディープニューラルネットワーク(DNN)は、医療診断や自律運転など、さまざまな分野において前例のないパフォーマンスを示している。 それらは、ステルスシートリガーによって制御され、活性化されるニューラルトロイの木馬攻撃(NT)に対して脆弱である。 本稿では,事前訓練したトロイの木馬が展開前にトロイの木馬に検出されたかどうかを検査するロバストで適応的なトロイの木馬検出手法を提案する。
  論文  参考訳（メタデータ） (2022-04-08T23:41:19Z)
• Realtime Robust Malicious Traffic Detection via Frequency Domain Analysis [14.211671196458477]
  本稿では,リアルタイムMLに基づく不正なトラフィック検出システムであるWhisperを提案する。 42種類の攻撃で実験したところ、ウィスパーは様々な高度なステルス攻撃を正確に検出でき、少なくとも18.36%の改善が達成された。 様々な回避攻撃の下でも、Whisperは検出精度の約90%を維持することができる。
  論文  参考訳（メタデータ） (2021-06-28T13:38:05Z)
• Isolation Distributional Kernel: A New Tool for Point & Group Anomaly Detection [76.1522587605852]
  分離分散カーネル(IDK)は2つの分布の類似性を測定する新しい方法である。 我々は、カーネルベースの異常検出のための新しいツールとして、IDKの有効性と効率を示す。
  論文  参考訳（メタデータ） (2020-09-24T12:25:43Z)
• Real-Time Anomaly Detection in Edge Streams [49.26098240310257]
  マイクロクラスタ異常の検出に焦点を当てたMIDASを提案する。 さらに、アルゴリズムの内部状態に異常が組み込まれている問題を解くために、MIDAS-Fを提案する。 実験の結果,MIDAS-Fの精度はMIDASよりも有意に高かった。
  論文  参考訳（メタデータ） (2020-09-17T17:59:27Z)
• Adversarial EXEmples: A Survey and Experimental Evaluation of Practical Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
  EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。 我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。 これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
  論文  参考訳（メタデータ） (2020-08-17T07:16:57Z)
• An Intelligent and Time-Efficient DDoS Identification Framework for Real-Time Enterprise Networks SAD-F: Spark Based Anomaly Detection Framework [0.5811502603310248]
  我々は、異なる機械学習技術を用いたDDoS異常検出のためのセキュリティ解析技術について検討する。 本稿では,システムへの入力として実際のトラフィックを扱う新しいアプローチを提案する。 提案するフレームワークの性能要因を3つの異なるテストベッドで検討・比較する。
  論文  参考訳（メタデータ） (2020-01-21T06:05:48Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。