2023 Fiscal Year Final Research Report
Hypervisor-based memory acquisition and restoration system for temporal-dimension forensic analysis and its application to deep-learning-based automatic incident detection
| Project/Area Number |
20K11825
|
|---|
| Research Category |
Grant-in-Aid for Scientific Research (C)
|
| Allocation Type | Multi-year Fund |
|---|
| Section | 一般 |
|---|
| Review Section |
Basic Section 60070:Information security-related
|
|---|
| Research Institution | National Institute of Technology, Toyota College |
|---|
Principal Investigator |
Hirano Manabu 豊田工業高等専門学校, 情報工学科, 教授 (50390464)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
小林 良太郎 工学院大学, 情報学部(情報工学部), 教授 (40324454)
|
|---|
| Project Period (FY) |
2020-04-01 – 2024-03-31
|
| Keywords | サイバーセキュリティ / デジタルフォレンジック / 仮想化技術 / ランサムウェア検知 / メモリフォレンジック / 仮想計算機モニタ / ハイパーバイザ |
|---|
| Outline of Final Research Achievements |
We developed a cyber-attack monitoring and analysis system using a lightweight hypervisor and a deep learning model. This study has three themes: in theme (A), we developed an incremental memory dump acquisition mechanism using a lightweight hypervisor, BitVisor. In theme (B), we used theme (A) to monitor BlueSky, a ransomware with anti-analysis capabilities, and we analyzed it using Volatility, a memory forensics framework. We published the results in the top international journal in digital forensics, Digital Investigation. In theme (C), we collected memory access patterns using BitVisor. The deep learning model trained using the memory access patterns could detect ransomware with an F-score of 0.98.
|
| Free Research Field |
サイバーセキュリティ
|
| Academic Significance and Societal Importance of the Research Achievements |
今日のサイバーセキュリティが直面する課題は(1)サイバー犯罪の増大に警察など法執行機関が対処できなくなっていること,(2)ファイルレスマルウェア等の攻撃手法の高度化、暗号化ファイルシステムによってストレージフォレンジック技術が役に立たなくなってきていること,(3)犯罪者による証拠隠滅や改ざんへの対策が不可欠になっていること,の3点である。本研究ではこれらへの対策として,コンピュータの「監視システム」と大量の監視記録から証拠を高速に発見する「解析システム」を開発,評価した。本研究課題の成果はデジタルフォレンジック分野の主要ジャーナル Digital Investigation に採録された。
|
