プロセス情報と関連づけた通信情報保全手法の提案

IPSJ Open Access

Bibliographic Information

Other Title
  • Proposal and Evaluation of the Preservation Method of the Network Packets Associated with Process Information

Search this article

Abstract

サイバー攻撃における原因調査では様々な情報を照らし合わせ,当時の状況を推測してタイムラインを作成し,原因の判定を行うことが必要となる.だが,情報には後から取得可能な情報以外に,揮発性情報と呼ばれる時間の経過にともなって情報の取得が困難になる情報が存在し,対象コンピュータの操作や電源断等によって簡単に消えてしまうという問題点がある.この問題に対処するために,著者らはプロセスの立ち上げや終了,そしてそのプロセスが接続を確立した接続先の情報を,安全にかつシステムにあまり負荷をかけずに記録する方式を提案する.さらに,著者らは,上記の手法を実現する等のために開発したOnmitsuと名付けたドライバプログラムについても報告する.このプログラムを実際の問題に適用することにより,このプログラムが目的を達成することが確認できた.本論文では,提案手法,開発したプログラム,適用結果,ならびにパフォーマンスに関する評価結果を報告する.

For the cause investigation of cyber attack, the cause should be identified by using the timeline created from various information for estimating the status of the cyber attack moment. However, there is a problem that some information called “Volatile Information” will be lost easily by some operation to the computer or computer shutdown. To cope with the problem, the authors will propose a dedicated method for storing packet logs based on the communication, startup and closing log data of the process using Windows functions. In addition, we will report on a newly developed driver program called Onmitsu that can be used to implement the functions included in the proposed method. Based on the results of the application evaluation, it was confirmed that the program could effectively achieve the desired objectives. In this paper, the proposed method, the developed program, applied results, and the evaluation performance results are described.

Journal

Related Projects

See more

Keywords

Details 詳細情報について

Report a problem

Back to top