Skip to main content
QUICK REVIEW

[論文レビュー] A Taxonomy for Attack Patterns on Information Flows in Component-Based Operating Systems

Michael Hanspach, Jörg Keller|arXiv (Cornell University)|Mar 5, 2014
Security and Verification in Computing参考文献 39被引用数 3
ひとこと要約

本論文は、特に多レベルセキュリティのシナリオを念頭に置き、コンポーネントベースのオペレーティングシステムにおける情報フローに対する攻撃パターンを分類する包括的な分類法と代数的枠組みを提示する。不正な情報フロー、特に隔離されたパーティション間を物理的信号を利用して利用する、画期的なタイプの隠れ物理チャネルを同定・形式化し、安全なシステムおよび対策の設計のための体系的根拠を提供する。

ABSTRACT

We present a taxonomy and an algebra for attack patterns on component-based operating systems. In a multilevel security scenario, where isolation of partitions containing data at different security classifications is the primary security goal and security breaches are mainly defined as undesired disclosure or modification of classified data, strict control of information flows is the ultimate goal. In order to prevent undesired information flows, we provide a classification of information flow types in a component-based operating system and, by this, possible patterns to attack the system. The systematic consideration of informations flows reveals a specific type of operating system covert channel, the covert physical channel, which connects two former isolated partitions by emitting physical signals into the computer's environment and receiving them at another interface.

研究の動機と目的

  • 強制アクセス制御下でのコンポーネントベースのオペレーティングシステムにおける不正な情報フローを体系的に分析・分類すること。
  • 純粋な隔離ハイパーバイザで機能する隔離メカニズムを回避する攻撃パターンを同定・形式化すること。
  • 物理的信号の放射・受信を根拠とする、新しいタイプの隠れチャネル(隠れ物理チャネル)を導入・分析すること。
  • 高信頼性システム設計に適用可能な再利用可能な代数的モデルを提供すること。
  • 攻撃パターンを特定の情報フローの脆弱性にマッピングすることで、安全なコンポーネントベースのシステムの設計と検証を支援すること。

提案手法

  • パーティション(P)、カーネル(K)、ハードウェア(H)、攻撃者(A)を含む、コンポーネントベースのオペレーティングシステムのグラフモデルを構築し、すべての可能な情報フローを有向エッジとして表現する。
  • 隔離ポリシーに違反するパスをテストすることで、再帰的ウォークアルゴリズムを適用し、すべての不正な情報フローを体系的に同定する。
  • 合法的(カーネル制御による直接的)、ストレージチャネル、タイミングチャネル、隠れチャネル(物理的およびポリシーに基づくチャネルを含む)に情報フローを分類する。
  • 情報フローをモデル化する形式的代数を導入し、将来のモデル化に向け、環境(E)、ネットワーク(N)、ユーザー(U)の拡張を可能にする。
  • サイドチャネル攻撃、実装上の欠陥、内部者攻撃、物理信号に基づく隠れチャネルなど、同定された不正なフローを攻撃パターンにマッピングする。
  • 攻撃パターンの分類法を提唱し、基本的および拡張形を区別する。特に、隠れ物理チャネルを画期的な脅威ベクトルとして焦点化する。

実験結果

リサーチクエスチョン

  • RQ1純粋な隔離ハイパーバイザを備えたコンポーネントベースのオペレーティングシステムにおいて、合法的および不正な情報フローの完全な集合は何か?
  • RQ2このようなシステムにおいて、情報フローのメカニズムに基づいて攻撃パターンを体系的に分類する方法は何か?
  • RQ3従来の隔離メカニズムを回避する新しいタイプの隠れチャネルは何か、特に物理的信号に基づくものであるか?
  • RQ4高信頼性システムの形式的解析を支援するため、情報フローの代数的モデルをどのように構築・拡張できるか?
  • RQ5物理的信号に基づく通信(隠れ物理チャネル)が、コンポーネントベースのシステムにおける多レベルセキュリティに与える影響は何か?

主な発見

  • 物理的信号(光や音響波など)を介して隔離されたパーティション間で情報交換が可能な、画期的なタイプの隠れチャネル(隠れ物理チャネル)が同定された。
  • 再帰的ウォークアルゴリズムは、特定のパーティションから出発するすべての最短形の不正な情報フローを効果的に同定でき、体系的な脅威モデリングを可能にした。
  • 分類法により、攻撃パターンは実装上の欠陥やポリシーの改ざん、サイドチャネル攻撃、物理的攻撃にまで及び、隠れ物理チャネルはかつて軽視されがちな脅威であることが明らかになった。
  • 提案された代数的モデルは、情報フローの分析に形式的基盤を提供し、環境、ネットワーク、ユーザーのエージェントを今後含めるために拡張可能である。
  • 隠れ物理チャネルは、参照モニタが支配しない物理層の特性を悪用するため、コンポーネントベースのシステムにおけるドメイン分離にとって深刻な脅威であることが示された。
  • 形式的検証済みのカーネルを備えたシステムでさえも、物理的およびサイドチャネル経由で意図しない情報フローが生じ得ることを示し、より広範な脅威モデリングの必要性を示唆した。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。