2020 Fiscal Year Research-status Report
仮想計算機モニタの時系列メモリ証拠保全機構と深層学習によるインシデントの自動検出
| Project/Area Number |
20K11825
|
|---|
| Research Institution | National Institute of Technology, Toyota College |
|---|
Principal Investigator |
平野 学 豊田工業高等専門学校, 情報工学科, 准教授 (50390464)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
小林 良太郎 工学院大学, 情報学部(情報工学部), 教授 (40324454)
|
|---|
| Project Period (FY) |
2020-04-01 – 2024-03-31
|
| Keywords | メモリフォレンジック / ハイパーバイザ / ディープラーニング / メモリアクセスパターン / ファイルレスマルウェア / ランサムウェア / 時系列データ解析 / サイバー犯罪 |
|---|
| Outline of Annual Research Achievements |
本研究ではOSとプログラムが実行されるにつれて時事刻々と変化するメインメモリの内容を、ハイパーバイザを用いて時系列データとして取得する機構を開発し、ファイルレスマルウェアやランサムウェアの時系列メモリアクセスパターンを収集する。それらの時系列データをディープラーニングで学習させて、悪性ソフトウェアの検知性能を評価する。
令和2年度は「差分型の時系列メモリダンプ取得機構」のコンポーネントを2つ試作した [1]。試作(1)では物理メモリマップの情報を用いてゲストOSのメモリ領域を収集し、監視サーバへ転送する機構を実装した。試作(2)では Intel 製 CPU の仮想化技術のひとつである Extended Page Table (EPT) を利用し、ゲストOSとプログラムがメモリにデータを書き込んだタイミングで、その物理アドレスと書き込まれたデータを取得し、監視サーバへ転送する機構を実装した。試作(1)ではメモリ監視を有効にしながらベンチマークプログラム UnixBench を実行させ、監視による性能低下を調査した。試作(2)では Translation Lookaside Buffer (TLB) と EPT テーブルをクリアする頻度を変更して、監視可能なメモリのページ数とスループットの変化を調査した。
試作(1)で初期状態のメモリを一括取得し、試作(2)で差分を定常的に取得することができるようになったので、令和3年度はこれらを組み合わせて最終的な「差分型の時系列メモリダンプ取得機構」を完成させる予定である。
[1] 大森貴通、水野広基、牧原京佑、平野学、小林良太郎、準パススルー型ハイパーバイザによるメモリデータ収集機能の性能改善と評価、研究報告コンピュータセキュリティ(CSEC)、2021-CSEC-92(46)、pp. 1-7、2021
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
「研究実績の概要」で述べたように、試作(1)で初期状態のメモリを一括取得し、試作(2)で差分を定常的に取得することができるようになったため、次の令和3年度にはこれらを組み合わせて、最終的な「差分型の時系列メモリダンプ取得機構」を完成させることができる見込みである。
令和4年度以降に、上記で開発したメモリ監視システムでファイルレスマルウェアやランサムウェアのメモリアクセスパターンのデータセットを作成し、それを用いて「時系列メモリダンプと深層学習によるインシデント自動検出」のサブテーマを実施する計画であるが、本年度は先行して Long Short-Term Memory (LSTM) の学習プログラムの試作を進めている。LSTM は Intrusion Detection System (IDS) 分野の研究で実績が挙がりつつあるディープラーニング手法である。ディープラーニングの性能比較のベースラインとなる従来型の機械学習を用いた検知システムについても並行して研究を進めている[2]。
[2] 程田凌羽、平野学、小林良太郎、ストレージアクセスパターンを用いた機械学習によるランサムウェア判別システムの精度向上に関する考察、研究報告コンピュータセキュリティ(CSEC)、2021-CSEC-92(52)、pp. 1-7、2021
以上より、監視システム(時系列メモリダンプ機構)の開発と、それらの監視データから得られたデータセットを用いたディープラーニングによる検知手法の両方について順調に研究が進んでいます。
|
| Strategy for Future Research Activity |
令和3年度は「研究実績の概要」で述べた試作(1)と試作(2)を組み合わせて、最終的な「差分型の時系列メモリダンプ取得機構」を完成させる計画である。この際にできる限り観測対象へ影響を与えずにシステムを実装、評価して、研究の有用性を示すことが重要であると考えている。すなわちメモリ監視システムのスループットを向上させるために、効率的な差分型のメモリ取得方法を実装、評価する。
令和4年度以降のディープラーニングによる悪性プログラムの判定手法については以下のように研究を進める。従来のメモリダンプ機構はある瞬間でのメモリの内容を静的に解析をすることがほとんどであったが、本研究では時系列でのメモリアクセスパターンを収集し、メモリの読み込み、書き込み、命令フェッチのアクセスパターンを学習させることで、メモリにしか痕跡を残さない悪性プログラムを検知できるようにする。
とくに、本研究では以前の科研費テーマにて 1 TB のインメモリデータベースを処理できる Apache Spark クラスタを構築している(ストレージのアクセスパターンから過去の読み書きデータを復元するのに利用した)。本研究ではこのクラスタを活用して、過去にメモリに読み書きされたデータを復元したり、特定のメモリデータをハッシュ値で高速に検索するシステムを提案、実装したいと考えている。
|
| Causes of Carryover |
当初の予定では「旅費」と「その他」を国際会議での発表費用として計上していた。しかし令和2年度は世界的な新型コロナウィルスの影響があったため、国際会議での発表を行わず、国際ジャーナルへの投稿を行うことにした。投稿中の論文は現時点でまだレビュー中の段階であるが、出版された場合にはオープンアクセスのオプションを含めると国際会議で発表したのと同程度の予算が必要となる。
以上で述べたように「次年度使用額が生じた理由」は当初予定していた国際会議での発表のかわりに、国際ジャーナルへの投稿へ変更したためであり、「使用計画」は国際ジャーナルの出版費用になる見込みである。
|
Research Products
(2 results)
