权益分类	功能权益	普通用户	{{item.name}}会员
{{category.name}}	{{benefitItem.name}}

仮想計算機モニタの時系列メモリ証拠保全機構と深層学習によるインシデントの自動検出

利用虚拟机监控时间序列内存证据保存机制和深度学习进行自动事件检测

基本信息

批准号：
20K11825
负责人：
平野学
金额：
$ 2.75万
依托单位：
National Institute of Technology, Toyota College
依托单位国家：
日本
项目类别：
Grant-in-Aid for Scientific Research (C)
财政年份：
2020
资助国家：
日本
起止时间：
2020-04-01 至 2024-03-31
项目状态：
已结题

项目摘要

サイバー犯罪の急増で法執行機関が大量のインシデントに対応しており，さらに高度サイバー攻撃では証拠隠滅や改ざんへの対策も不可欠になっている。これらの課題への対策として，本申請では実世界での「監視カメラ」と大量の監視記録からサイバー犯罪を自動検知し，証拠を高速に発見する「解析システム」を軽量ハイパーバイザと深層学習モデルによって開発した。本研究課題では以下の３つのテーマを実施した。まず，テーマ(A)では軽量ハイパーバイザ BitVisor でメモリ仮想化機能の Extended Page Table (EPT) を利用して，書き込まれたメモリ領域だけを差分として保全する機構（差分型の時系列メモリダンプ取得機構）を開発した。テーマ(B)ではテーマ(A)で取得した差分メモリダンプを逐次復元していき，メモリフォレンジックフレームワーク Volatility で解析する機構を開発，耐解析機能を有するランサムウェア BlueSky での挙動解析を通してシステムを評価した。テーマ(C)では軽量ハイパーバイザ BitVisor でメモリ仮想化機能の EPT を利用してメモリへのアクセスパターンを収集する機構を開発した。このシステムでランサムウェア6種，良性プログラム6種のアクセスパターンを収集してデータセットを構築した。データセットには平成31年度までの科研費研究（研究課題17K00198）で開発した機構を併用してストレージアクセスパターンも一緒に収集した。構築したデータセットを学習させ，深層学習モデル Long Short Term Memory (LSTM) でFスコアが 0.92，機械学習アルゴリズムの LightGBM で Fスコアが 0.98 でランサムウェアと良性プログラムを分類することができた。以上より，当初計画していたサイバー犯罪の監視と自動検知のシステムを開発評価できた。

There are a large number of emergency law enforcement mechanisms involved in criminal law enforcement, and there are a large number of emergency law enforcement machines. there are a large number of emergency law enforcement machines. there are a large number of emergency law enforcement mechanisms. This application applies to the World Surveillance Program, which provides a large number of surveillance records, records, crime, crime and auto-learning information, and information on how to analyze and analyze crime at a high speed. The purpose of this study is to carry out the following three-day training program. In recent years, we need more information about the use of Extended Page Table (EPT) to improve the performance of BitVisor equipment. In this way, we need to make full use of the information in the field to ensure that the differential security mechanism (differential real-time serial security mechanism) is in operation. In the system (B), the system (A) is used to determine the difference between the data and the data, and the results show that the Volatility analysis system is open, and the analysis machine is capable of improving the performance of the system. In the first place (C), we need to know that the BitVisor system can be operated by the EPT through the use of the information system. There are six kinds of drugs in the market, and six kinds of drugs in the benign one. The collection of six kinds of drugs is in good condition. In Pingcheng 31, the scientific research program (research project 17K00198) has been launched in Pingcheng City. The research institutions are responsible for the use of information technology. In-depth study of Long Short Term Memory (LSTM) in the field of health education is due to the fact that the number of students is 0.92 and that of mechanical engineering is 0.98 and that of LightGBM is 0.98 and that of benign diseases is not good enough. At the beginning of the above plan, it was planned that the auto-monitoring system, the criminal monitoring unit, the auto-monitoring system, the criminal monitoring unit, the auto-monitoring system, the auto-monitoring