2022 Fiscal Year Annual Research Report
未知の攻撃に遭遇した際のプロセスの振る舞い検知と解析に関する研究
| Project/Area Number |
19K20246
|
|---|
| Research Institution | Ariake National College of Technology |
|---|
Principal Investigator |
森山 英明 有明工業高等専門学校, 創造工学科, 准教授 (00633009)
|
|---|
| Project Period (FY) |
2019-04-01 – 2023-03-31
|
| Keywords | オペレーティングシステム / 仮想計算機 / セキュリティ / 振る舞い解析 |
|---|
| Outline of Annual Research Achievements |
本研究では,仮想計算機上で動作するプログラムの振る舞いを,VMM(Virtual Machine Monitor)によって監視し,振る舞いを検知・解析し,必要に応じて攻撃を防ぐシステムの構築を目標とする.
本研究の取り組みとして,振る舞い解析機構の実現方式について検討した.振る舞い解析機構は,仮想計算機のVMM上に実装し,VM上のプロセスの動作を監視する.VM上のプロセスから重要な情報を記載したファイルに対してアクセスを行う際に,VMM上の振る舞い解析機構からこのプロセスのシステムコール処理をフックし,外部への情報の流出に繋がる処理や悪意ある攻撃であるかを解析する.さらに,解析結果から振る舞いのログとして集約し,次回以降の解析に活用する.
次に,振る舞い解析を安全に行うための検査用環境の構築について検討を進めた.重要な情報を記載したファイルに対してアクセスを行ったプロセスが,外部と通信を行う際,ネットワークを介して情報を流出する可能性がある.このため,プロセス間通信処理において,ソケットへデータを転送するシステムコールや,ファイルディスクリプタ間でデータを転送するシステムコールに対して適切な制御を行う必要がある.これらのシステムコール処理で参照するVMCS(Virtual Machine Control Structure)の値を変更することで,情報の流出を防止する機能について検討した.
さらに,効率的な監視手法に関する検討を行った.VM上のプロセスが発行するすべてのシステムコールをVMM側でフックし監視を行うため,監視を行わない場合と比較して処理オーバヘッドの増加が考えられる.このため,監視処理に対して性能評価を行い,ファイルパスの取得処理やログ出力処理の処理オーバヘッドが大きいことを明確にした.これらの処理に対する改善手法の検討を行い,評価により有効性を明らかにした.
|
