仮想計算機モニタの時系列メモリ証拠保全機構と深層学習によるインシデントの自動検出
| Project/Area Number |
20K11825
|
|---|
| Research Category |
Grant-in-Aid for Scientific Research (C)
|
| Allocation Type | Multi-year Fund |
|---|
| Section | 一般 |
|---|
| Review Section |
Basic Section 60070:Information security-related
|
|---|
| Research Institution | National Institute of Technology, Toyota College |
|---|
Principal Investigator |
平野 学 豊田工業高等専門学校, 情報工学科, 教授 (50390464)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
小林 良太郎 工学院大学, 情報学部(情報工学部), 教授 (40324454)
|
|---|
| Project Period (FY) |
2020-04-01 – 2024-03-31
|
| Project Status |
Discontinued (Fiscal Year 2022)
|
| Budget Amount *help |
¥4,290,000 (Direct Cost: ¥3,300,000、Indirect Cost: ¥990,000)
Fiscal Year 2023: ¥650,000 (Direct Cost: ¥500,000、Indirect Cost: ¥150,000)
Fiscal Year 2022: ¥520,000 (Direct Cost: ¥400,000、Indirect Cost: ¥120,000)
Fiscal Year 2021: ¥520,000 (Direct Cost: ¥400,000、Indirect Cost: ¥120,000)
Fiscal Year 2020: ¥2,600,000 (Direct Cost: ¥2,000,000、Indirect Cost: ¥600,000)
|
|---|
| Keywords | デジタルフォレンジック / サイバーセキュリティ / 仮想化 / ハイパーバイザ / ランサムウェア / メモリフォレンジック / 仮想計算機モニタ / 深層学習 / ハイパーバイザー / ディープラーニング / ファイルレスマルウェア / メモリアクセスパターン / 時系列データ分析 / サイバー犯罪 / 時系列データ解析 / ディジタルフォレンジック / インシデントレスポンス / 機械学習と深層学習 |
|---|
| Outline of Research at the Start |
今日のサイバーセキュリティが直面する課題は(1)サイバー犯罪の増大に警察などの法執行機関が対処できなくなってきていること,(2)ファイルレス・マルウェアの増加と暗号化ファイルシステムにより従来のストレージ解析手法が役に立たなくなってきていること,(3)犯罪者による証拠隠滅や改ざんへの対策が不可欠になっていること,の3点である。これらの課題の対策として,本申請では,実世界での「監視カメラ」とその大量の監視記録から犯罪の証拠を高速に発見する「解析システム」に相当する,サイバー攻撃への新しい対策機構を実装・評価する。
|
| Outline of Annual Research Achievements |
サイバー犯罪の急増で法執行機関が大量のインシデントに対応しており,さらに高度サイバー攻撃では証拠隠滅や改ざんへの対策も不可欠になっている。これらの課題への対策として,本申請では実世界での「監視カメラ」と大量の監視記録からサイバー犯罪を自動検知し,証拠を高速に発見する「解析システム」を軽量ハイパーバイザと深層学習モデルによって開発した。
本研究課題では以下の3つのテーマを実施した。まず,テーマ(A)では軽量ハイパーバイザ BitVisor でメモリ仮想化機能の Extended Page Table (EPT) を利用して,書き込まれたメモリ領域だけを差分として保全する機構(差分型の時系列メモリダンプ取得機構)を開発した。テーマ(B)ではテーマ(A)で取得した差分メモリダンプを逐次復元していき,メモリフォレンジックフレームワーク Volatility で解析する機構を開発,耐解析機能を有するランサムウェア BlueSky での挙動解析を通してシステムを評価した。テーマ(C)では軽量ハイパーバイザ BitVisor でメモリ仮想化機能の EPT を利用してメモリへのアクセスパターンを収集する機構を開発した。このシステムでランサムウェア6種,良性プログラム6種のアクセスパターンを収集してデータセットを構築した。データセットには平成31年度までの科研費研究(研究課題17K00198)で開発した機構を併用してストレージアクセスパターンも一緒に収集した。構築したデータセットを学習させ,深層学習モデル Long Short Term Memory (LSTM) でFスコアが 0.92,機械学習アルゴリズムの LightGBM で Fスコアが 0.98 でランサムウェアと良性プログラムを分類することができた。以上より,当初計画していたサイバー犯罪の監視と自動検知のシステムを開発評価できた。
|
Report
(3 results)
Research Products
(12 results)
