2022 Fiscal Year Annual Research Report
仮想計算機モニタの時系列メモリ証拠保全機構と深層学習によるインシデントの自動検出
Project/Area Number |
20K11825
|
Research Institution | National Institute of Technology, Toyota College |
Principal Investigator |
平野 学 豊田工業高等専門学校, 情報工学科, 教授 (50390464)
|
Co-Investigator(Kenkyū-buntansha) |
小林 良太郎 工学院大学, 情報学部(情報工学部), 教授 (40324454)
|
Project Period (FY) |
2020-04-01 – 2024-03-31
|
Keywords | デジタルフォレンジック / サイバーセキュリティ / 仮想化 / ハイパーバイザ / ランサムウェア / メモリフォレンジック / 仮想計算機モニタ / 深層学習 |
Outline of Annual Research Achievements |
サイバー犯罪の急増で法執行機関が大量のインシデントに対応しており,さらに高度サイバー攻撃では証拠隠滅や改ざんへの対策も不可欠になっている。これらの課題への対策として,本申請では実世界での「監視カメラ」と大量の監視記録からサイバー犯罪を自動検知し,証拠を高速に発見する「解析システム」を軽量ハイパーバイザと深層学習モデルによって開発した。 本研究課題では以下の3つのテーマを実施した。まず,テーマ(A)では軽量ハイパーバイザ BitVisor でメモリ仮想化機能の Extended Page Table (EPT) を利用して,書き込まれたメモリ領域だけを差分として保全する機構(差分型の時系列メモリダンプ取得機構)を開発した。テーマ(B)ではテーマ(A)で取得した差分メモリダンプを逐次復元していき,メモリフォレンジックフレームワーク Volatility で解析する機構を開発,耐解析機能を有するランサムウェア BlueSky での挙動解析を通してシステムを評価した。テーマ(C)では軽量ハイパーバイザ BitVisor でメモリ仮想化機能の EPT を利用してメモリへのアクセスパターンを収集する機構を開発した。このシステムでランサムウェア6種,良性プログラム6種のアクセスパターンを収集してデータセットを構築した。データセットには平成31年度までの科研費研究(研究課題17K00198)で開発した機構を併用してストレージアクセスパターンも一緒に収集した。構築したデータセットを学習させ,深層学習モデル Long Short Term Memory (LSTM) でFスコアが 0.92,機械学習アルゴリズムの LightGBM で Fスコアが 0.98 でランサムウェアと良性プログラムを分類することができた。以上より,当初計画していたサイバー犯罪の監視と自動検知のシステムを開発評価できた。
|
Research Products
(6 results)