| 研究実績の概要 |
本研究課題は、国産の仮想計算機モニタ BitVisor を用いて、重要度の高い業務に使われる PC の操作履歴を記録する「監視システム」と、そこから得られた大量の時系列データを処理する「解析システム」の二つの研究から構成されている。これまでの科研費の研究課題では、仮想計算機モニタ BitVisor を用いてストレージへの書き込みを時刻情報とともに分散ファイルシステムへ自動転送し、解析システムでセクタ単位のハッシュ値を使って目的ファイルが書き込まれた時刻と位置を高速に見つけ出し,その時刻時点のファイルを復元する手法を MapReduceで実装、評価した。本研究課題ではこれらのストレージアクセスパターンを機械学習ならびに深層学習で学習させ、サイバー攻撃やセキュリティインシデントを自動検出する手法を実装、評価した。
最終年度の令和元年度は (1) 機械学習を用いて解析システムを高度化,(2) 監視システムのメモリフォレンジックへの拡張,(3) 監視・解析システムの性能改善、の3点を実施した。項目(1)では機械学習と深層学習を適用し解析システムを高度化した。機械学習アルゴリズムの Support Vector Machine, Random Forest, ならびに k-Nearest Neighbors で、類似のストレージアクセスパターンを持つ正常な処理(AES暗号化、ZIP圧縮、Secure erase)とのクラス分類問題において、98%の精度でランサムウェアを検出できた。深層学習では、ストレージアクセスパターンを時系列パターンの画像化手法 Gramian Angular Field によって前処理し、畳み込みニューラルネットワークとResNet50 による転移学習でランサムウェアと正常な処理を 89%の精度で検出できた。項目(2) ではストレージアクセスパターン収集機能を拡張し、ページ単位でのメモリ収集機能を実装した。項目(3) では大量の監視データをもれなく収集するため、監視システムから解析システムへの転送速度を 9Gpbs 程度まで向上させた。
|
