| 研究課題/領域番号 |
23500106
|
|---|
| 研究機関 | 沖縄工業高等専門学校 |
|---|
研究代表者 |
伊波 靖 沖縄工業高等専門学校, メディア情報工学科, 教授 (60390564)
|
|---|
| キーワード | 不正プログラム検知 / SVM / 仮想マシンモニタ / BitVisor / WAF |
|---|
| 研究概要 |
Windows系の不正プログラム検知方法について危険なシステムコールに着目したシステムの開発を行った。ルールベースによる検知とSVMによる識別を組み合わせることで、検知ができることを確認した。また、SVMを用いてプログラムの特徴に着目した不正プログラム検知手法にWHIPSへの実装を行い、99.4%の高い検知率で検知が行えることを確認し、危険なシステムコールに着目した振る舞いによる検知手法を組み合わせたシステムについて実装を行っている。
Mac OS X上において実装するためにシステムコールの調査と不正なプログラムによる危険なシステムコールの分類を行っている。Mac OS Xにおけるカーネル拡張によるプログラムの開発について調査と試作を行っている。
現在、OSを問わずにシステムコールに着目して検知を行えるようにするため、セキュア仮想モニタ(VMM)であるBitVisorを改良しゲストOSのWindowsが発行したシステムコール履歴を取得することが出来るようにした。また、BitVisorにSVMを実装することに成功し、今後、本研究で行っている検知手法をVMMで行うことでOSを問わない不正プログラム検知システムの実現を目指す。
WindowsおよびUNIXにおいて上記のシステムによる不正プログラム検知が可能になることで、ウイルスやワーム等の不正なプログラムによるシステムへの感染を防ぐことが可能になり、より安全なコンピュータ環境の実現に寄与できるものと考える。
また、SVMによる不正プログラム検知手法を応用し、Webアプリケーションに対する攻撃を検知するためのWeb Application Firewall(WAF)をWebサーバのモジュールとして実装し有効性について検討した。学習データによる検知率は100%となり、未知の評価データについても99.69%と高い検知率を確認することができた。
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
2: おおむね順調に進展している
理由
実験に必要な正常なプログラムおよび不正なプログラムのシステムコール時系列のデータ収集については順調に進んでおり、実験データを用いたシミュレーション実験については予定どおり進んでいる。現在、Windows系におけるSVMを用いた不正プログラム検知システムの実装において性能を向上を行っている。また、今年度から行っている仮想マシンモニタであるBitVisorへのシステムの実装についても順調に進んでいる。また、研究テーマを応用したWAFへの実装については一通り完成し、実環境における評価実験を行う予定である。
|
| 今後の研究の推進方策 |
Windows系OSへの実装についてさらに開発を進め、検知能力および性能を評価するための実験を行う予定である。BitVisorへ実装しているプログラムの特徴に基づく検知手法についても完成を目指す。
また、現在検討中のMac OS Xへの提案手法の実装方法についてさらに調査検討を行い、システムの概要設計を行う予定である。
|
| 次年度の研究費の使用計画 |
購入予定のノートパソコンと旅費により研究成果の学会等への発表及び論文誌への投稿を行う予定である。
|
