2015 Fiscal Year Research-status Report
仮想計算機を用いた法的証拠の保全システムと分散並列処理による解析システムの融合
| Project/Area Number |
26330168
|
|---|
| Research Institution | National Institute of Technology, Toyota College |
|---|
Principal Investigator |
平野 学 豊田工業高等専門学校, 情報工学科, 准教授 (50390464)
|
|---|
| Project Period (FY) |
2014-04-01 – 2017-03-31
|
| Keywords | フォレンジック / 仮想化 / ハイパーバイザ / ブロックデバイス / 分散並列処理 / クラウドコンピューティング / インシデントレスポンス / サイバー犯罪 |
|---|
| Outline of Annual Research Achievements |
本研究課題では、クライアント環境ならびにクラウド環境のコンピュータの監視と解析のシステムを開発している。平成27年度に実施した研究成果は以下のとおりである。
(1)仮想計算機システムをもちいたブロックデバイスの監視システムから得た、大量のデータを Hadoop MapReduce の計算機クラスタで高速に解析するシステムを開発した。研究成果は論文 [1] として国際会議 ARES2015 にて発表した(IEEE電子ジャーナル採録)。[1] Manabu Hirano, Hayate Takase, and Koki Yoshida. Evaluation of a Sector-Hash Based Rapid File Detection Method for Monitoring Infrastructure-as-a-Service Cloud Platforms. In the 10th International ConferenceAvailability,Reliability and Security (ARES 2015), pp. 584-591, Toulouse, France, August 2015.
(2)仮想計算機システム BitVisor へ、ブロックデバイスの監視機能と、Hadoop 分散並列処理クラスタへの監視データの転送機能を実装した。研究成果は情報処理学会の全国大会にて [2]として発表した。[2] 都築卓馬, 海野友希,平野学. 準パススルー型ハイパーバイザを利用したブロックストレージの書き込み監視システム. 情報処理学会第78 回全国大会, 2W-06, March 2016. (学生奨励賞受賞)
(3)仮想計算機モニタ Xen を用いたブロックデバイスの監視システムについて、詳細な性能評価実験を実施し、国際会議論文として投稿した(現在、査読結果待ち)。論文において、ディジタルフォレンジックの実用的な機能として、過去のブロックデバイスの状態にさかのぼって、ファイルの差分をとることができる diff 機能を新たに提案したほか、仮想マシンが複数動作している Infrastructure-as-a-Cloud (IaaS) 環境において、仮想マシン間でのファイルの移動を解析し、タイムラインを復元する機能を提案した。
|
| Current Status of Research Progress |
Current Status of Research Progress
1: Research has progressed more than it was originally planned.
Reason
本研究は大きく三つの機能から構成されており、それぞれ(1)準パススルードライバ BitVisor へのブロックデバイスの監視とHadoop分散ファイルシステムへの転送機能、(2)分散ファイルシステムならびに Hadoop MapReduce による監視データの解析プラットフォーム、(3)デジタルフォレンジックのための解析システム、から構成されている。
(1)については仮想マシンモニタ BitVisor への実装がほぼ完了した。開発成果の概要は平成28年3月の情報処理学会全国大会にて報告済みであるが、さらに詳細な性能評価をおこなって平成28年度に国際会議へ投稿する予定である。
(2)については平成27年度に開発ならびに評価が完了しており、研究成果は論文 [1] として国際会議 ARES2015 にて発表済みである(IEEE電子ジャーナル採録)。[1] Manabu Hirano, Hayate Takase, and Koki Yoshida. Evaluation of a Sector-Hash Based Rapid File Detection Method for Monitoring Infrastructure-as-a-Service Cloud Platforms. In the 10th International ConferenceAvailability, Reliability and Security (ARES 2015), pp. 584-591, Toulouse, France, August 2015.
続いて、(3)については平成27年度に先行して、以下のデジタルフォレンジック向けの解析機能を開発した。開発したプログラムは、過去のブロックデバイスの状態にさかのぼって、ファイルの差分をとることができる diff 機能、ならびに仮想マシンが複数動作している Infrastructure-as-a-Cloud (IaaS) 環境において、仮想マシン間でのファイルの移動を解析しタイムラインを復元する機能、の二つである。以上の機能を国際会議論文としてまとめ投稿中である(現在、査読結果待ち)。
|
| Strategy for Future Research Activity |
最終年度の平成28年度は仮想計算機 BitVisor に実装した監視システムを、MacOS ならびに Windows などのオペレーティングシステムで動作させ、ファイルシステムの特性にあったディジタルフォレンジックの解析システムを提案する。たとえば、平成27年度に発表した国際会議論文(前述, ARES2015) において、Windows では 1024バイト未満のファイルの場合にはデータが MFT と呼ばれるファイルシステムのメタデータの一部として保存されてしまうことがあり、512バイトセクタ単位で整列しないため、開発済みの Hadoop を用いた分散並列処理でファイルを検索するシステムで検出できない問題点が明らかになった。このようなファイルシステムに依存した問題点については、解決する手法に新規性が認められれば、論文として発表する計画である。
最終年度の28年度には、解析システムの実用性の向上を目指す。現時点で、大量の監視データからのファイルの検出、監視データからの時間差分の diff コマンド、仮想マシン間でのファイル追跡とタイムライン復元、の3つの機能を実現している。これらの機能を視覚的にグラフ等で表現することで、解析時間の短縮をはかることを目指す。さらに、監視システムについては、Infrastructure-as-a-Service を構築するソフトウェアである OpenStack への統合により、監視をより簡便におこなうことができるようにする工夫が考えられる。
デジタルフォレンジック分野において、継続的に監視データを蓄積する監視カメラのような機能と、そこから得られた大量のデータを効率的に解析するシステムは、まだ多くはない。本研究課題の成果は国際会議の論文として発表しているが、さらなる社会貢献を目指して基本機能についてのソフトウェア公開を目指す。
|
| Causes of Carryover |
次年度使用額が生じた理由は研究費を有効活用するためである。研究の成果は順調に出ており、国際会議等での発表経費が3か年計画の後半に集中している。貴重な財源を不必要な物品の購入に使わず、必要不可欠な成果発表の経費にあてるため該当の助成金が発生した。
|
| Expenditure Plan for Carryover Budget |
最終年度は国際会議に少なくとも1件、可能ならば2件の発表を計画している。(すでに1件は投稿済み)このため翌年度となる最終年度は成果発表の経費として有効活用する計画である。
|
