UNIXなどの主要な計算機システムにおいては,バッファオーバフローを利用した侵入行為が深刻な問題である. アプリケーション・プログラムの脆弱性に起因するこの問題に対して,アプリケーション・プログラムの動作を監視するこ とによって侵入行為を検知しようとする研究が盛んに行われている. 侵入検知の手法には,大きく分けて不正検知と異常検知というものがある.前者では,侵入行為のシグネチャに基づいて 計算機の不正利用を検知するのに対して,後者では正常動作データ(監視対象が正常に動作していることを示すデータ)に 基づいて計算機の異常動作を検知する. 異常検知システムの関連研究には,正常動作データとしてシステムコールの履歴を用いた研究がある.このような研究の背景には, アプリケーション・プログラムが発行するシステムコールの履歴は,そのアプリケーション・プログラムを特徴付けることが 可能であるという考えがある.本研究では,このシステムコールの履歴を用いて効率的に異常検知を行う手法について研究を行っている.
