| 研究課題/領域番号 |
26330168
|
|---|
| 研究機関 | 豊田工業高等専門学校 |
|---|
研究代表者 |
平野 学 豊田工業高等専門学校, 情報工学科, 准教授 (50390464)
|
|---|
| 研究期間 (年度) |
2014-04-01 – 2017-03-31
|
| キーワード | デジタルフォレンジック / 仮想化 / デバイスドライバ / 分散並列処理 / クラウドコンピューティング |
|---|
| 研究実績の概要 |
平成26年度は,すでに開発済みの仮想計算機モニタで監視したストレージへの入出力データをセクタ単位で保全するシステム(法的証拠の保全システム)から得た監視データを解析するクラスタを構築した。クラスタは Hadoop 分散ファイルシステムと MapReduce で動作するもので,3台のスレーブ,1台のマスターサーバを自作し,それらを 10GBASE-T によるフォレンジックネットワークで相互接続した。解析対象のデータはバイナリデータであるため,Hadoop の Key, Value ペアでの処理に対応させるため,最初に SequenceFile 形式へ変換し,その後は MapReduce の分散処理にて処理するものとした。
平成26年度は特に Digital Forensics Research Workshop (DFRWS) で Garfinkel らによって提案された,512バイトセクタ単位でのハッシュ値を計算し,それをもとに目的ファイルを高速に検出するアルゴリズムを採用し,構築したクラスタにて MapReduce へ実装して,性能評価の実験を実施した。さらに,セクタハッシュ方式による目的のファイル検出方式の有効性を検証するため,Windows 8.1 (NTFS), MacOS X 10.9 (HFS+), CentOS (ext4) のそれぞれのファイルシステムに対して有用性検証の実験をおこなった。以上の結果をまとめて,情報処理学会のコンピュータセキュリティ研究会(CSEC)と全国大会にて報告した。さらに,内容を改善した論文を国際会議(ARES 2015 の The International Workshop on Cloud Security and Forensics, WCSF 2015)へ投稿した(再録通知待ち)。
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
1: 当初の計画以上に進展している
理由
本研究は仮想計算機モニタを Computer Forensics 分野へ応用することを目的としている。組織内にあるPCのデータ操作履歴を記録していくことで犯罪捜査時の法的証拠とするシステムである。本研究では同時に多数のPCから得た操作履歴データを分散ストレージに集約し,得られた大規模データの証拠解析フェーズを MapReduceで並列化して高速に処理するシステムを開発する。本研究の推進により組織内PCのストレージデータの操作履歴の保全と解析を統合的におこなう機構を実現する。
平成26年度は当初の計画を前倒しして,仮想計算機を用いた履歴保全システムから得られた監視データを,分散並列処理するために Hadoop クラスタを構築し,MapReduce プログラムとして,セクタハッシュ方式のアルゴリズムを実装,分散コンピュータ上で並列分散処理でファイル探索するシステムを構築できた。現在は Xen の準仮想化ドライバとして実装している履歴保全システムを,平成27年度に BitVisor へ組み込む開発を学生と進めている。平成26年度は Xen 向けのドライバを安定動作させる開発に集中し改善できたので,平成27年度は BitVisor へスムーズな移植が可能になると考えている。平成26年度は,前述のとおり,Xen の準仮想化ドライバとして実装した履歴保全システムをベースとして,先行して開発できた履歴解析システムを実現できた。BitVisor への移植後も,保全データは同一フォーマットであることから,そのまま同じ解析システムに対して,BitVisor で得られたクライアントでの保全データが,Xenの準仮想化で得られた IaaS型クラウド環境での保全データと同様に処理できるよう,研究を計画的に進めている。
|
| 今後の研究の推進方策 |
平成27年度は BitVisor への履歴保全システムの組み込みを完了させ,平成26年度に先行して開発した大量の履歴データから目的ファイルをセクタハッシュ方式で高速に検索する分散並列処理システムを用いて,同様に解析できるようにする。平成28年度は,先行して開発済みの Infrastructure-as-a-Service (IaaS) 型クラウドでのブロックデバイスへの入出力を監視するシステムから得られた履歴データと,BitVisor で得られたクライアントコンピュータの監視データをあわせた,組織内の保全データから,統一的なインターフェースで解析できるシステムを実現する計画である。
大量データからの目的ファイルの検出の高速化については,現時点ではセクタ単位のハッシュ値を計算した転置ファイルを MapRecuce で作成する方法,B-tree による索引を作成する方法,Apache Spark のインメモリの並列分散処理を併用する方法,を検討している。デジタルフォレンジックはプライバシーの問題で,Amazon EC2 のようなパブリッククラウドにデータをコピーして処理できないという問題を抱えている。加えて,数テラバイト単位でのデータを,インターネット経由で転送するには時間がかかりすぎるため現実的ではない。よって,本研究では,組織内に構築した小規模クラスタで,いかに限られたノード数と主記憶容量を用いて,効率的にデータ解析をおこなうかに主眼を置いて研究を進める。
今後は,近年問題が取り上げられることの多くなったフォレンジックツールへの攻撃,アンチフォレンジック技術に対する対策,Infrastructure-as-a-Service (IaaS) 型クラウドコンピューティング環境へのフォレンジック手法として,本研究での提案の有効性を示していく計画である。
|
| 次年度使用額が生じた理由 |
平成26年度に研究が予想以上に進んだため,平成27年度に購入予定だったクラスタを購入するため,予算の前倒し使用の申請をおこなった。この際に申請した研究費でクラスタを購入したが,その際に一部のメモリが予算オーバーで購入できないことになり,次年度使用額が発生した。以上で申し上げたように,次年度使用額が発生したのは前倒し申請により機材を購入した結果であり,研究計画は予定よりも早く進んでいる。研究者にとって研究費は貴重な財源であるので,平成26年度に執行せずに,基金のメリットをいかして平成28年度に真に有効活用できるメモリの購入にあてることとした。
|
| 次年度使用額の使用計画 |
平成26年度の次年度使用額である 14,180円 は,平成27年度の研究で必要不可欠な計算機クラスタのメモリの購入にあて,貴重な研究費を有効に使う計画である。
|
