Merge pull request #77 from sai-lab/upd/intro-research-container

sai-lab · Dec 25, 2023 · d4b421b · d4b421b
2 parents d1888b0 + 60a328b
commit d4b421b
Show file tree

Hide file tree

Showing 6 changed files with 22 additions and 1 deletion.
diff --git a/.DS_Store b/.DS_Store
diff --git a/.github/settings/markdown-link-check.json b/.github/settings/markdown-link-check.json
@@ -8,6 +8,9 @@
 		},
 		{
 			"pattern": "../static/index.html?FILE=.*"
+		},
+		{
+			"pattern": "https://www.american-cse.org/*"
 		}
 	]
 }
diff --git a/docs/.DS_Store b/docs/.DS_Store
diff --git a/docs/images/theme/sprofiler-research-scope.png b/docs/images/theme/sprofiler-research-scope.png
diff --git a/mdfiles/.DS_Store b/mdfiles/.DS_Store
diff --git a/mdfiles/wiki/theme.md b/mdfiles/wiki/theme.md
@@ -13,7 +13,9 @@
 [教育者の負担軽減に向けたセキュリティ演習環境の自動構築システム(Automatic Construction System for Security Training Environment to Reduce the Burden on Educators)](#教育者の負担軽減に向けたセキュリティ演習環境の自動構築システム)  
 [試行錯誤しながら自学自習できる体験型セキュリティ演習システム(Security Practice System Enabling Trial and Error)](#試行錯誤しながら自学自習できる体験型セキュリティ演習システム)  
 [ファイルシステム](#ファイルシステム)  
-[バージョン管理機能を持ったファイルシステム](#バージョン管理機能を持ったファイルシステム)
+[バージョン管理機能を持ったファイルシステム](#バージョン管理機能を持ったファイルシステム)  
+[コンテナ](#コンテナ)  
+[攻撃対象領域削減のためのコンテナネイティブなシステムコールフィルタルール生成機構](#攻撃対象領域削減のためのコンテナネイティブなシステムコールフィルタルール生成機構)  
 [最近までの研究](#最近までの研究)  
 [DNSサービス/DNSキャッシュポイズニング可視化システム](#dnsサービスdnsキャッシュポイズニング可視化システム)  
 [機器情報を用いたネットワーク管理システム](#機器情報を用いたネットワーク管理システム)  
@@ -159,6 +161,22 @@ We will contribute to the development of security human resources by developing
 
 <img src="../images/theme/yuiha-fs-backup.png" alt="yuiha-fs" width="100%">
 
+## コンテナ
+
+### 攻撃対象領域削減のためのコンテナネイティブなシステムコールフィルタルール生成機構
+
+<div class="theme-keywords">コンテナ，セキュリティポリシー，バイナリ解析</div>
+
+コンテナ型の仮想化技術は，高速なスケールアウト，高いポータビリティ，高速なリリースサイクルを実現できるため，多くのプロダクション環境に適用されています．  
+一方でパブリッククラウドなど，複数のシステムやサービスを共用する環境では，セキュリテイインシデントを引き起こす可能性があります．  
+これは，コンテナはホストとOSカーネルを共有しているため，コンテナランタイムに特権昇格攻撃の脆弱性が存在する場合，コンテナ内で悪意ある目的のために発行されたシステムコールがホストに波及するためです．  
+対策として，アプリケーションに必要なシステムコールのみを許可するフィルタリングを行うことが有効ですが，発行する全てのシステムコールの把握は困難です．  
+本研究では，アプリケーションの実行ファイルに対する静的解析と，コンテナから発行するシステムコールの動的解析を組み合わせ，フィルタリングルールを自動生成するSprofilerを開発しました．  
+
+本研究は[CSCI2021(International Conference on Computational Science and Computational Intelligence)](https://www.american-cse.org/csci2021/)で発表し，[IEEE Exploreで公開](https://ieeexplore.ieee.org/document/9799042)されています．
+
+<img src="../images/theme/sprofiler-research-scope.png" alt="sprofile research scope" width="100%">
+
 # 最近までの研究
 
 ### DNSサービス/DNSキャッシュポイズニング可視化システム
-Original file line number
+Diff line change
@@ Expand Up / @@ -8,6 +8,9 @@ @@
     		},
     		{
     			"pattern": "../static/index.html?FILE=.*"
+    		},
+    		{
+    			"pattern": "https://www.american-cse.org/*"
     		}
     	]
     }