2026-04-22T18:25:31Z https://ipsj.ixsq.nii.ac.jp/oai

oai:ipsj.ixsq.nii.ac.jp:00210143 2025-01-19T18:15:23Z 1164:3925:10503:10504

準パススルー型ハイパーバイザによるメモリデータ収集機能の性能改善と評価 大森, 貴通 水野, 広基 牧原, 京佑 平野, 学 小林, 良太郎 情報収集・分析 企業や官公庁でのランサムウェアの被害が増加している．我々の先行研究ではランサムウェア実行時のストレージ装置へのアクセスパターンを収集し，ランサムウェアを検知する機械学習モデルを訓練し，その検知性能を評価してきた．先行研究のシステムではランサムウェアをある程度の精度で検知できていたが，ストレージ装置へのアクセスパターンがランサムウェアと類似している無害なプログラムをランサムウェアと誤検知してしまう問題があった．そこで本研究ではランサムウェアの振る舞いをモデル化するために，先行研究で扱ったストレージ装置へのアクセスパターンに加えて，メインメモリから得られるプログラムの振る舞いに関する特徴量を収集し，それらの両方を用いることでランサムウェアの検知性能を向上させることを目的とする．先行研究では準パススルー型ハイパーバイザを用いてランサムウェアのストレージ装置に対するアクセス履歴を収集するシステムを実装，利用してきた．本研究ではこの先行研究のシステムを拡張し，メインメモリへのアクセス履歴を収集する機能を追加する．本稿では以下の 2 つの試作をおこなった結果を報告する．まず，試作（1）では物理メモリマップの情報を用いてゲスト OS のメモリ領域をバッファにコピーし，監視サーバへ転送することを繰り返す．試作（2）では Intel 社製 CPU の仮想化技術のひとつである Extended Page Table を利用し，メモリにアクセスされたタイミングで物理アドレスとそのデータを収集する．本稿ではそれぞれの試作を性能評価した結果を報告する．最後にメモリ管理の仮想化を応用した最新の関連研究をいくつか示し，監視の頻度と性能を両立できるメモリ監視システムの設計について考察する． technical report 情報処理学会 2021-03-08 application/pdf 研究報告コンピュータセキュリティ（CSEC） 46 2021-CSEC-92 1 7 2188-8655 AA11235941 https://ipsj.ixsq.nii.ac.jp/record/210143/files/IPSJ-CSEC21092046.pdf jpn