2011 Fiscal Year Research-status Report
仮想計算機モニタを用いたシステムコールレベルのマルウェア動的解析とその自動化
| Project/Area Number |
23500101
|
|---|
| Research Institution | Ritsumeikan University |
|---|
Principal Investigator |
毛利 公一 立命館大学, 情報理工学部, 准教授 (90313296)
|
|---|
| Project Period (FY) |
2011-04-28 – 2014-03-31
|
| Keywords | マルウェア解析 / コンピュータセキュリティ / ネットワークセキュリティ / 仮想化技術 / オペレーティングシステム |
|---|
| Research Abstract |
本研究の目的は,仮想化技術を用いてマルウェアを観測・解析することである.特に,観測・解析しようとしていることをマルウェアに検知されないこと,マルウェアの処理の意図がつかみやすいシステムコールという単位で観測・解析できることが特徴である.平成23年度は,上記を達成する一段階として,下記の内容を実現した.なお,下記の(b)や(d)などの記号は,本研究課題申請書の研究計画・方法の項目で記した記号と一致させてある. (b) システムコール単位のマルウェア解析手法の確立 … 解析対象のシステムコールとして,ファイル入出力,レジストリアクセス,プロセスとスレッドの生成・終了,他プロセスのメモリ領域アクセス,動的リンクライブラリに関するものを実装した.これによってマルウェアが典型的に用いるシステムコールのほとんどを網羅することができた. (d) 高速・安全なロギング手法の確立 … 観測記録を,IEEE1394を用いて別のコンピュータへ送信するメカニズムを開発した.これによって,マルウェアに検知されることなく記録データの転送を実現した.また,観測可能な時間を長くすることができた.さらに,観測から解析までの手順が簡略化を実現することもできた.
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
当初の予定では,平成23年度の予定として(a) マルウェア解析のための超軽量・超小型VMM の開発と,(b) システムコール単位のマルウェア解析手法の確立を計画していた.このうち(b)については達成した.具体的には,解析対象のシステムコールとして,ファイル入出力,レジストリアクセス,プロセスとスレッドの生成・終了,他プロセスのメモリ領域アクセス,動的リンクライブラリに関するものを実装した.これによってマルウェアが典型的に用いるシステムコールのほとんどを網羅することができた.一方で,研究をよりスムーズに進めるために,(b)を次年度以降の目標とするとともに,平成24年度に予定していたテーマ(d) 高速・安全なロギング手法の確立を前倒しで達成した.(d)では,観測記録を,IEEE1394を用いて別のコンピュータへ送信するメカニズムを開発した.これによって,マルウェアに検知されることなく記録データの転送を実現した.また,観測可能な時間を長くすることができた.さらに,観測から解析までの手順が簡略化を実現することもできた. 以上から,研究の実施手順を一部入れ替えたものの,本年度の達成度としてはおおむね順調であると評価している.
|
| Strategy for Future Research Activity |
今後も計画したテーマについて着実に進める.平成24年度は次のテーマを予定している. (a) マルウェア解析のための超軽量・超小型VMM の開発 (c) マルウェア解析機構の移植 (e) ハニーポット環境の開発 特に重要なのは(e)であり,マルウェアを解析する環境をどのように模擬するかという点が挙げられる.これについては,既存研究もかなり進んでいるため,それらの成果も十分取り入れながら進めなければならない.そのため,NICT(情報通信研究機構)とも協力して研究を進めていける環境を整えた.具体的には,NICTのネットワークセキュリティ研究所サイバーセキュリティ研究室との共同研究体制を構築した.また,ネットワークセキュリティ研究フォーラムにも加盟し,研究推進の体制を強力にした.
|
| Expenditure Plans for the Next FY Research Funding |
平成23年度研究費のうち次年度使用額は29,420円である.これは主として,当初の計画よりも近距離の場所で開催された学会への参加となったために発生したものである.これについては,今後の学会発表へ活用するなどして有効利用したい.平成24年度の計画としては,ハニーポット構築用の計算機やネットワーク機器等消耗品費として350千円程度,2回の国内研究会発表と2回の国際会議発表等旅費として550千円程度(次年度使用額を含む),実験補助と翻訳・校閲等謝金として200千円程度,その他論文投稿料として120千円程度として執行することを計画している.
|
