2017 Fiscal Year Research-status Report
仮想計算機モニタを用いた法的証拠保全システムと機械学習による解析システムの高度化
| Project/Area Number |
17K00198
|
|---|
| Research Institution | National Institute of Technology, Toyota College |
|---|
Principal Investigator |
平野 学 豊田工業高等専門学校, 情報工学科, 准教授 (50390464)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
小林 良太郎 工学院大学, 情報学部(情報工学部), 准教授 (40324454)
|
|---|
| Project Period (FY) |
2017-04-01 – 2021-03-31
|
| Keywords | ディジタルフォレンジクス / 仮想計算機モニタ / アンチフォレンジックス / 機械学習 / 分散並列処理 / セキュリティ / サイバー犯罪 / サイバー攻撃 |
|---|
| Outline of Annual Research Achievements |
本研究は国産の仮想計算機モニタBitVisorを用いて,重要度の高い業務に使うPCの操作履歴を記録する監視システムと,監視システムで記録された大量の時系列データからインシデントの証拠や原因を高速に発見する並列分散処理システムの二つの研究から構成される。本研究課題では,特に仮想計算機モニタ BitVisor を用いてクライアント端末を監視するとともに,解析対象となるデータ量の増大と,アンチフォレンジック攻撃(証拠隠滅や改ざん)への対策,の2点の課題を解決するために機械学習と並列分散処理を適用する。本研究の推進により増加するサイバー犯罪に対抗するための,自動化されたインシデント解析支援システムを構築することを目指している。
これまでの研究によって,仮想計算機モニタ Xen ならびに BitVisor を用いてストレージへの書き込みを時刻情報とともに分散ファイルシステムへ自動転送し,解析時にセクタ単位のハッシュ値を使って目的ファイルが書き込まれた時刻と位置を見つけ出し,その時刻のファイルを復元する手法を MapReduce で実装,評価できた。本申請の全期間では(1)機械学習を用いた解析システムの高度化,(2)監視・解析システムのメモリフォレンジックへの拡張,(3)監視・解析システムの性能改善とWindows10ならびにMacOSへの適用評価,を実施する計画であり,本年度はそのうちの(1)と(3)の大部分を完了できている。これまでの研究成果によってクラウド向けの監視と解析のための分散並列処理システム(https://github.com/manabu-hirano/logdrive)を実現しており,その解析機能をクライアント端末を監視する BitVisor に組み込むことで,クライアント端末からクラウドまでカバーする包括的な監視とインシデント解析の機構を実現する計画である。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
平成29年度は前回の科研費で開発した仮想計算機モニタBitVisor を用いた監視システムの性能改善に取り組み,その後に最新のオペレーティングシステムから十分な学習データを収集できるようにすることが目標であった。仮想計算機モニタ BitVisor を用いたディスクストレージの読み書きの監視システムは,仮想計算機モニタのレベルでディスクの入出力を取得し,仮想計算機モニタが持つ TCP/IP スタックを利用して,WebHDFS (Web Hadoop Distributed File System) プロトコルにより,直接Hadoop 分散ファイルシステムに監視記録を保存するものである。研究室の学生とともにソフトウェアの性能改善に取り組み,80MB/s と一般的な HDD 並みの書き込み性能を達成したため,成果を国際会議の論文[1] として発表した。この論文には監視機能だけではなく,拡張したクラスタを用いた解析機能(ヒートマップによるディスクアクセスパターンの可視化)も含まれている。Windows10 では動作確認しているが,MacOS ではブートしていないため改善に取り組む。データ取得に関しては監視システム上でランサムウェア Wannacry を動作させてアクセスパターンを取得した。
[1] Hirano, M., et al.: WaybackVisor: Hypervisor-Based Scalable Live Forensic Architecture for Timeline Analysis. In International Conference on Security, Privacy and Anonymity in Computation, Communication and Storage (pp. 219-230). Springer, Cham.
|
| Strategy for Future Research Activity |
本研究で構築している監視・解析システムの目的は,大量に生成される攻撃インシデントの証拠データから,その原因の発生日時や原因を迅速に発見することで,インシデントの対策や事後の迅速な対応を可能とすることである。近年,攻撃者は自動化された攻撃システムを操作することが増えてきているため,これらの攻撃データの増加に対応するためには,従来人間が実施していた解析作業を,ある程度はシステム的に自動化する必要がある。本研究では入力となる監視データを仮想計算機モニタの BitVIsor を用いて収集し,定常状態または異常状態を機械学習させることでインシデントを自動検知する手法を検討している。このため,本研究では定常状態の監視データの収集を進め,機械学習によるモデル化,異常検出が可能かどうかの評価を実施するとともに,ランサムウェアのディスクアクセスパターンのような異常状態の検知も学習によって判別可能かを検討していく。標的型メールやメモリでのみ実行されるマルウェアなどはメモリの状態やCPUのレジスタ値の変化パターンも学習させる必要があると考えている。そのため,今後はディスクアクセスパターンの監視だけではなく,メモリフォレンジックを含めた監視システムの拡張と,それらの監視データを時系列で解析するクラスタシステムの解析機能の拡張を実施していく計画である。本研究の成果は国際会議で発表することに加えて,以前の科研費研究の成果と同様に,今回もソースコードを公開して論文と一緒に一般に公開することで,再現可能な研究成果として社会に還元する計画である。
|
| Causes of Carryover |
研究が予定よりも早く進んだため、昨年度に前倒し申請をしたが、その際に予定していた論文出版の査読が遅れているため、出版費用を計上する必要がなくなった為に次年度使用額が発生した。研究自体は順調に進んでおり、研究成果の発表が前倒しになっているため、研究計画に変更はない予定である。昨年度までに研究用クラスタの構築が終わっているため、本年度の予算は研究成果の発表費用(国際会議での発表と論文誌への投稿)を中心に執行していく計画である。
|
-
[Journal Article] WaybackVisor: Hypervisor-Based Scalable Live Forensic Architecture for Timeline Analysis.2017
Author(s)
Hirano, M., Tsuzuki, T., Ikeda, S., Taka, N., Fujiwara, K., and Kobayashi, R.
-
Journal Title
In International Conference on Security, Privacy and Anonymity in Computation, Communication and Storage
Volume: ー
Pages: 219-230
DOI
Peer Reviewed
-
-
-
-
-
-
