2024-03-28T21:45:32Zhttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_oaipmhoai:ipsj.ixsq.nii.ac.jp:002100692023-04-27T10:00:04Z01164:02836:10501:10502
準パススルー型ハイパーバイザによるメモリデータ収集機能の性能改善と評価jpn情報収集・分析http://id.nii.ac.jp/1001/00209967/Technical Reporthttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_action_common_download&item_id=210069&item_no=1&attribute_id=1&file_no=1Copyright (c) 2021 by the Information Processing Society of Japan豊田工業高等専門学校専攻科情報科学専攻豊田工業高等専門学校情報工学科豊田工業高等専門学校情報工学科豊田工業高等専門学校専攻科情報科学専攻/豊田工業高等専門学校情報工学科工学院大学情報学部大森, 貴通水野, 広基牧原, 京佑平野, 学小林, 良太郎企業や官公庁でのランサムウェアの被害が増加している.我々の先行研究ではランサムウェア実行時のストレージ装置へのアクセスパターンを収集し,ランサムウェアを検知する機械学習モデルを訓練し,その検知性能を評価してきた.先行研究のシステムではランサムウェアをある程度の精度で検知できていたが,ストレージ装置へのアクセスパターンがランサムウェアと類似している無害なプログラムをランサムウェアと誤検知してしまう問題があった.そこで本研究ではランサムウェアの振る舞いをモデル化するために,先行研究で扱ったストレージ装置へのアクセスパターンに加えて,メインメモリから得られるプログラムの振る舞いに関する特徴量を収集し,それらの両方を用いることでランサムウェアの検知性能を向上させることを目的とする.先行研究では準パススルー型ハイパーバイザを用いてランサムウェアのストレージ装置に対するアクセス履歴を収集するシステムを実装,利用してきた.本研究ではこの先行研究のシステムを拡張し,メインメモリへのアクセス履歴を収集する機能を追加する.本稿では以下の 2 つの試作をおこなった結果を報告する.まず,試作(1)では物理メモリマップの情報を用いてゲスト OS のメモリ領域をバッファにコピーし,監視サーバへ転送することを繰り返す.試作(2)では Intel 社製 CPU の仮想化技術のひとつである Extended Page Table を利用し,メモリにアクセスされたタイミングで物理アドレスとそのデータを収集する.本稿ではそれぞれの試作を性能評価した結果を報告する.最後にメモリ管理の仮想化を応用した最新の関連研究をいくつか示し,監視の頻度と性能を両立できるメモリ監視システムの設計について考察する.AN10116224研究報告マルチメディア通信と分散処理(DPS)2021-DPS-18646172021-03-082188-89062021-03-05