2018 Fiscal Year Research-status Report
仮想計算機モニタを用いた法的証拠保全システムと機械学習による解析システムの高度化
| Project/Area Number |
17K00198
|
|---|
| Research Institution | National Institute of Technology, Toyota College |
|---|
Principal Investigator |
平野 学 豊田工業高等専門学校, 情報工学科, 准教授 (50390464)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
小林 良太郎 工学院大学, 情報学部(情報工学部), 准教授 (40324454)
|
|---|
| Project Period (FY) |
2017-04-01 – 2021-03-31
|
| Keywords | ディジタルフォレンジック / サイバーセキュリティ / インシデントレスポンス / 機械学習 / ランサムウェア / 不正アクセス / 仮想マシンモニタ / 分散並列処理 |
|---|
| Outline of Annual Research Achievements |
本課題で提案するシステムは(1)監視対象のコンピュータから自動的にディスク入出力などのシステムの挙動を示すデータをクラスタへ転送してロギングする「監視システム」と(2)得られた監視データを統計処理ならびに機械学習で分析して大量データからインシデントに関連するデータを探し出す「解析システム」から構成される。提案システムは、サイバー犯罪や各種インシデントが発生した際に、過去のタイムラインを再構築し、大量のデータを高速に解析、インシデントの証拠を発見するのに用いる。
平成30年度は学術論文 [1] の出版に加えて、2件の研究会発表をおこなった。デジタルフォレンジック、すなわち法執行機関や民間調査会社による大量のディジタル情報の調査と鑑識には非常に長い時間がかかる問題が指摘されている。そこで、学術論文 [1] において、確率的なランダムサンプリングに並列分散処理クラスタの演算を組み合わせることで、提案する「解析システム」を用いて 99%の信頼度で100 TiB の大量の解析データから 10 MiBの証拠データを 約3分 で検索できることを示した。以上に示した本年度の研究成果によって、当初の目標であった、大量のデータを高速に解析し、インシデントの証拠を効率的に発見するシステムを完成に近づけることができた。
[1] Hirano, M., Tsuzuki, N., Ikeda, S., & Kobayashi, R. (2018). LogDrive: a proactive data collection and analysis framework for time-traveling forensic investigation in IaaS cloud environments. Journal of Cloud Computing, 7(1), 18, Springer.(査読有)
|
| Current Status of Research Progress |
Current Status of Research Progress
1: Research has progressed more than it was originally planned.
Reason
平成30年度には「解析システム」の索引作成アルゴリズムと性能改善を目標にしていたが、「研究実績の概要」に示した学術論文 [1] にて、確率的なランダムサンプリングを用いることで 99%の信頼度で 100 TiB の巨大な解析データから 10 MiBの証拠データを 約3分 で検索できるシステムを実現した。学術論文 [1] で開発した「解析システム」のソースコードは https://github.com/manabu-hirano/logdrive にて公開した。
平成30年度のもうひとつの目標であった「機械学習」モデルの構築については「解析システム」にて、ランサムウェア3種類の挙動を学習させた。平成30年度はランダムフォレストを用いることで、振る舞いの似た圧縮プログラムや暗号化プログラムとランサムウェアを区別できることを確認できた。上記に加えて、平成30年度は「解析システム」の可視化機能の改良 [2]と「監視システム」の監視機能の改良と評価[3]についても発表した。
[2] 池田征士朗, 高直我, 平野学, 小林良太郎. ストレージアクセス履歴の時系列解析システムの実装とランサムウェア解析への応用. CSEC研究会, December 2018. (査読無)
[3] 高直我, 池田征士朗, 平野学, 小林良太郎. 準パススルー型ハイパーバイザによるストレージアクセスパターンの収集システムの提案. コンピュータセキュリティシンポジウム, October, 2018. (査読無)
|
| Strategy for Future Research Activity |
平成29年度と平成30年度で「監視システム」と「解析システム」を順調に開発できているため、平成31年度はインシデント発生のシミュレーションとして、各種のランサムウェアを「監視システム」で動作させ、機械学習でどれだけ正確に分類(インシデントを検出)できるかを検証し、その結果をすみやかに論文としてまとめて発表する。
令和元年度はディスクフォレンジックに加えて、メモリフォレンジックに対応するという大きな目標がある。現在「監視システム」のベースとして使っているセキュリティ目的の国産ハイパーバイザである BitVisor はデバイスの入出力を監視する目的で作られたものであるため、メモリに関連する監視機能の開発は難易度が高くなると想定している。しかしながら、幸い BitVisor のオリジナルの開発メンバが現在もソースコードをメンテナンスしてくれているため、難しい問題に直面した場合には開発者へ問い合わせをおこなうことも可能と考えている。
令和2年度の研究完了にむけて、まずはランサムウェアでの挙動を機械学習させることによってシステムの有用性を示すことを目標とし、さらに提案システムにメモリフォレンジックで得られた監視データを加えて機械学習の結果の信頼性を高めて(誤検出や検出漏れを減らして)、最終的にランサムウェア以外のインシデントに適用することで、監視ならびに解析のシステムとしての有用性をさらに検証していく方向で研究を進める。
|
| Causes of Carryover |
30万円の前倒し支払請求をおこなったため、当初の予定より多くの研究費を執行した。しかしながら、研究費を効率的に使用したため残額が出た。残額は令和元年度の論文発表費用などに充当し、科研費を最大限に有効活用する計画である。
|
