2021 Fiscal Year Research-status Report
仮想計算機モニタの時系列メモリ証拠保全機構と深層学習によるインシデントの自動検出
| Project/Area Number |
20K11825
|
|---|
| Research Institution | National Institute of Technology, Toyota College |
|---|
Principal Investigator |
平野 学 豊田工業高等専門学校, 情報工学科, 准教授 (50390464)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
小林 良太郎 工学院大学, 情報学部(情報工学部), 教授 (40324454)
|
|---|
| Project Period (FY) |
2020-04-01 – 2024-03-31
|
| Keywords | メモリフォレンジック / ハイパーバイザー / ディープラーニング / ランサムウェア / ファイルレスマルウェア / メモリアクセスパターン / 時系列データ分析 / サイバー犯罪 |
|---|
| Outline of Annual Research Achievements |
本研究ではハイパーバイザを用いてメモリの内容とアクセスパターンを時系列で取得する機構を開発し、ランサムウェアやファイルレスマルウェアを実行中のメモリの時系列変化を監視する。その時系列パターンを深層学習させることで悪性ソフトウェアを検知できるかを検証する。令和3年度の成果は以下のとおりである。
◎ 準パススルー型ハイパーバイザで Intel CPU の Extended Page Table (EPT) のページ違反を利用したメモリアクセスパターン監視機能を実装した。(対外発表 [1] 水野広基,牧原京佑,平野学,小林良太郎,準パススルー型ハイパーバイザを用いたOSごとのメモリアクセスパターンの違いの調査,令和3年度 電気・電子・情報関係学会東海支部連合大会,H2-3)
◎ ランサムウェアのストレージアクセスパターンを深層学習モデルである LSTM で学習させ98%の精度で検知できることを示した[2]。この深層学習モデルをメモリアクセスパターンに適用する実装を並行して進めた。(対外発表 [2] 程田凌羽,平野学,小林良太郎,深層学習によるディスクアクセスパターンを用いたランサムウェア検知システム,コンピュータセキュリティシンポジウム2021論文集,pp.1145-1150)
◎ 準パススルー型ハイパーバイザにメモリダンプ機能を実装した。このメモリダンプ機能と [1] で実装したアクセスパターン取得機能を用いて、ランサムウェア(Darkside と WannaCry)と良性プログラム(Zip と Excel)の実行前後の RAM のデータを取得し、それぞれのエントロピーの変化を報告した。(対外発表 [3] 大森貴通,平野学,小林良太郎,準パススルー型ハイパーバイザを用いて取得したメモリデータの分析,SCIS2022 暗号と情報セキュリティシンポジウム,2B3-1)
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
当初計画していた3つのサブテーマについて、以下のように順調に進んでいる。
◎テーマ(A) 差分型の時系列メモリダンプ機構:令和3年度は準パススルー型ハイパーバイザ BitVisor にメモリダンプ機能を実装し、悪性プログラムと良性プログラムで実行前後の RAM のエントロピーの変化を比較分析した[3]。テーマ(A) を完成させるためには [3] の実装に加え、 [1] で利用したメモリアクセスパターン監視機能(とくに write アクセスされたメモリページのみを追跡し、差分を転送する機能)を組み合わせる必要があるが、実装が順調に進んでいるため令和4年度上半期の研究会で発表できる見込みである。
◎テーマ(B) 時系列メモリダンプからの高速な証拠データ検出機構:テーマ(A) で述べたように [3] においてメモリダンプ機能を実装済みであり、さらに令和3年度には [3] で作成した Windows 7 と Windows 10 のメモリダンプをメモリフォレンジックの標準ツールである Volatility に読み込ませて分析でできることを確認した。令和4年度は差分メモリダンプ機能を完成させ、メモリダンプを時系列で再構成していき、プロセスやネットワークの挙動を時間経過ごとに分析できるようになる見込みである。
◎テーマ(C) 時系列メモリダンプと深層学習によるインシデント自動検出:対外発表[1] の実装をリファクタリングし、令和3年度末に EPT violation を用いてメモリアクセスパターン(Read, Write, Instruction fetch)を収集する機能を完成させた。さらにメモリアクセスパターンのデータセットを構築し、機械学習によってランサムウェアを検知できることを確認した。この成果は令和4年度開催の国際会議の論文として投稿中である。
|
| Strategy for Future Research Activity |
令和4年度以降は以下のように研究を進める予定である。
◎テーマ(A)については、令和4年度は準パススルー型ハイパーバイザ BitVisor への差分メモリダンプ機能の実装を完了させ、性能評価を実施し、研究成果を発表する。
◎テーマ(B) については、テーマ(A)で実装する差分メモリダンプから得られた時系列メモリデータをPCクラスタで分析する機能を実装、評価する。以前の科研費で時系列のストレージ装置への読み書き履歴から、セクタ単位でのハッシュ値を用いて高速に悪性プログラムを検出する機構を実装、発表しているため、それをメモリデータに適用し、評価、発表する。
◎テーマ(C) については、令和4年度の国際会議の論文として投稿中である。投稿中の論文ではランサムウェア3種、ワイパーマルウェア1種、良性プログラム4種のデータセットを構築、評価した。令和4年度は CPU、チップセット、RAM(メモリ速度とメモリ容量)を変えた環境でのアクセスパターンを収集して、より実際の環境に近いデータセットを構築する。ストレージアクセスパターンのデータセットに関する論文[4] は、令和3年度に国際ジャーナル(Elsevier の Digital Investigation)に採録され、データセットと論文のどちらもオープンアクセスで公開中である。メモリアクセスパターンについても同様に公開したいと考えている。
対外発表[4] Hirano, Manabu, et al. "RanSAP: An open dataset of ransomware storage access patterns for training machine learning models." Forensic Science International: Digital Investigation 40 (2022): 301314.
|
| Causes of Carryover |
予定していた国際会議への旅費などがコロナ禍の影響で不要になりました。残額については次年度の国際会議ならびに国際ジャーナルでの発表費用として有効活用いたします。
|
