Advanced hypervisor technology to provide safety and security

• Project/Area Number: 26330080
• Research Category: Grant-in-Aid for Scientific Research (C)
• Allocation Type: Multi-year Fund
• Section: 一般
• Research Field: Software
• Research Institution: University of Tsukuba (2016); The University of Electro-Communications (2014-2015)
• Principal Investigator: OYAMA Yoshihiro 筑波大学, システム情報系, 准教授 (10361536)
• Project Period (FY): 2014-04-01 – 2017-03-31
• Project Status: Completed (Fiscal Year 2016)
• Budget Amount: ¥4,680,000 (Direct Cost: ¥3,600,000、Indirect Cost: ¥1,080,000); Fiscal Year 2016: ¥1,560,000 (Direct Cost: ¥1,200,000、Indirect Cost: ¥360,000); Fiscal Year 2015: ¥1,560,000 (Direct Cost: ¥1,200,000、Indirect Cost: ¥360,000); Fiscal Year 2014: ¥1,560,000 (Direct Cost: ¥1,200,000、Indirect Cost: ¥360,000)
• Keywords: ハイパバイザ / 仮想化 / 仮想マシンモニタ / 災害警報 / マルウェア / セキュリティ / 安心 / オペレーティングシステム / 仮想マシン / 災害

Outline of Final Research Achievements

We developed advanced hypervisor technologies to provide safety and security. We developed a fundamental technology with which a hypervisor displays messages such as disaster warnings on the desktop of a computer. We also developed an elemental technology to detect and disable malware in the hypervisor layer and a hypervisor for efficient malware analysis. Moreover, we analyzed recently collected malware samples and clarified the operations executed by sophisticated malware to countermeasure analysis. Furthermore, we developed a technology to store malware behavior logs compactly using context-free grammar. We also conducted investigation and experiments on malware behavior particularly related to sleep operations.

Research Products

• [Journal Article] Trends of anti-analysis operations of malwares observed in API call logs (2017)
  • Author(s): Yoshihiro Oyama
  • Journal Title: Journal of Computer Virology and Hacking Techniques Volume: 13 Issue: 1 Pages: 69-85
  • DOI: 10.1007/s11416-017-0290-x
  • NAID: 120007134331
  • Peer Reviewed / Acknowledgement Compliant
• [Journal Article] Grammar Compression of Call Traces in Dynamic Malware Analysis (2017)
  • Author(s): Takahiro Okumura, Yoshihiro Oyama
  • Journal Title: Journal of Information Processing Volume: 25 Issue: 0 Pages: 229-233
  • DOI: 10.2197/ipsjjip.25.229
  • NAID: 130005395242
  • ISSN: 1882-6652
  • Peer Reviewed / Open Access / Acknowledgement Compliant
• [Journal Article] Checkpointing an Operating System Using a Parapass-through Hypervisor (2015)
  • Author(s): Yoshihiro Oyama, Yudai Kawasaki, Kazushi Takahashi
  • Journal Title: Journal of Information Processing Volume: 23 Issue: 2 Pages: 132-141
  • DOI: 10.2197/ipsjjip.23.132
  • NAID: 130004952403
  • ISSN: 1882-6652
  • Peer Reviewed / Open Access / Acknowledgement Compliant
• [Journal Article] ADvisor: A Hypervisor for Displaying Images on a Desktop (2014)
  • Author(s): Yoshihiro Oyama, Natsuki Ogawa, Yudai Kawasaki, Kazuhiro Yamamoto
  • Journal Title: Proceedings of the Second International Symposium on Computing and Networking Volume: 0 Pages: 412-418
  • DOI: 10.1109/candar.2014.43
  • Peer Reviewed / Acknowledgement Compliant
• [Presentation] マルウェアのスリープ挙動の多様性に関する予備調査 (2017)
  • Author(s): 大山 恵弘
  • Organizer: 情報処理学会第76回コンピュータセキュリティ研究会
  • Place of Presentation: 神奈川工科大学（神奈川県厚木市）
• [Presentation] マルウェアによる対仮想化処理の傾向についての分析 (2016)
  • Author(s): 大山 恵弘
  • Organizer: コンピュータセキュリティシンポジウム2016
  • Place of Presentation: 秋田キャッスルホテル（秋田県秋田市）
• [Presentation] ハイパバイザによる災害警報通知システムの実装方式 (2016)
  • Author(s): 大山 恵弘
  • Organizer: 日本ソフトウェア科学会第33回大会
  • Place of Presentation: 東北大学（宮城県仙台市）
• [Presentation] SSLWatcher: SSL/TLS通信を監視し警告するハイパバイザ (2015)
  • Author(s): 平井 成海
  • Organizer: BitVisor Summit 4
  • Place of Presentation: お茶の水女子大学, 東京都文京区
  • Year and Date: 2015-11-26
• [Presentation] ADvisor機能を応用した有害画像の視覚的規制 (2015)
  • Author(s): 宮元 景冬
  • Organizer: BitVisor Summit 4
  • Place of Presentation: お茶の水女子大学, 東京都文京区
  • Year and Date: 2015-11-26
• [Presentation] ハイパバイザによる災害警報通知 (2015)
  • Author(s): 大山 恵弘
  • Organizer: 第14回情報科学技術フォーラム
  • Place of Presentation: 愛媛大学, 愛媛県松山市
  • Year and Date: 2015-09-15
• [Presentation] SSLWatcher: SSL/TLS通信を監視し警告するハイパバイザ (2015)
  • Author(s): 平井 成海，髙橋 一志，大山 恵弘
  • Organizer: 日本ソフトウェア科学会第32回大会
  • Place of Presentation: 早稲田大学, 東京都新宿区
  • Year and Date: 2015-09-09
• [Presentation] A Hypervisor for Manipulating Guest Screens (2015)
  • Author(s): Yoshihiro Oyama
  • Organizer: 6th ACM SIGOPS Asia-Pacific Workshop on Systems (APSys 2015)
  • Place of Presentation: Koto-ku, Tokyo, Japan
  • Year and Date: 2015-07-27
  • Int'l Joint Research
• [Presentation] 仮想マシンモニタによるプログラムコードの秘匿化 (2014)
  • Author(s): 平井成海，髙橋一志，大山恵弘
  • Organizer: 第12回ディペンダブルシステムワークショップ
  • Place of Presentation: 熱海
  • Year and Date: 2014-12-17
• [Presentation] 仮想マシンモニタによるマルウェアプロセスの実行抑止 (2014)
  • Author(s): 本田 惇，高橋 一志，大山 恵弘
  • Organizer: 日本ソフトウェア科学会第31回大会
  • Place of Presentation: 名古屋大学
  • Year and Date: 2014-09-10
• [Presentation] 仮想マシンモニタによるプログラムコードの秘匿化 (2014)
  • Author(s): 平井 成海，髙橋 一志，大山 恵弘
  • Organizer: 2014年並列／分散／協調処理に関する『新潟』サマー・ワークショップ（SWoPP新潟2014）
  • Place of Presentation: 新潟
  • Year and Date: 2014-07-28
• [Remarks] DisasVisorソフトウェア公開Webページ
  • URL: https://github.com/y-oyama/DisasVisor