2020 Fiscal Year Final Research Report
Hypervisor-based digital forensic evidence preservation system and its application to machine learning
| Project/Area Number |
17K00198
|
|---|
| Research Category |
Grant-in-Aid for Scientific Research (C)
|
| Allocation Type | Multi-year Fund |
|---|
| Section | 一般 |
|---|
| Research Field |
Information security
|
|---|
| Research Institution | National Institute of Technology, Toyota College |
|---|
Principal Investigator |
Hirano Manabu 豊田工業高等専門学校, 情報工学科, 准教授 (50390464)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
小林 良太郎 工学院大学, 情報学部(情報工学部), 教授 (40324454)
|
|---|
| Project Period (FY) |
2017-04-01 – 2021-03-31
|
| Keywords | ディジタルフォレンジクス / ハイパーバイザ / ランサムウェア / 機械学習 / ストレージフォレンジクス / メモリフォレンジクス / 仮想計算機モニタ / マルウェア |
|---|
| Outline of Final Research Achievements |
In this project, we have developed the following two systems: a hypervisor-based surveillance system of storage devices on an endpoint computer, and an analysis system to find security incidents using the time-series data obtained from the surveillance system. The novel results of this project include: (1) we developed a novel machine learning feature on the analysis system. We used the machine-learning-based analysis system in detecting ransomware's storage access patterns. The system achieved a detection rate between 96% and 98% (F-measure). And (2) we developed a memory forensic feature on the surveillance system. In summary, we have refined our previous version of the hypervisor-based surveillance and analysis system using the machine-learning function and the memory forensic function.
|
| Free Research Field |
ディジタルフォレンジック,システムセキュリティ,ネットワークセキュリティ
|
| Academic Significance and Societal Importance of the Research Achievements |
本研究の学術的意義は以下の2点である。まず,(1)国産の軽量ハイパーバイザ BitVisor を用い,ゲストOSへの影響を最小限に抑えながら,観測対象プログラムのストレージ装置とメモリのアクセスパターンを収集する新しい機構を実装・評価した。さらに,(2)記録した時系列のストレージアクセスパターンを新たに機械学習に適用し,特に被害が急増しているランサムウェアの検知に応用できることを確かめた。ランサムウェア検体3種類と,ランサムウェアに類似したアクセスパターンをもつ良性プログラム3種類(暗号化,セキュア削除,圧縮)を学習させて 96%から98%の検知率(F値)を達成した。
|
