可用性を考慮したプロセスの複製によるライブフォレンジック手法 Live Forensic Method Using Process Duplication to Maintain High System Availability

この論文にアクセスする

この論文をさがす

抄録

従来のハードディスクを調査対象とするデジタルフォレンジック手法は,ファイルシステムに痕跡を残さない攻撃に対処できない.また,ハードディスク上の証拠が改変されるのを防ぐためにシステムの電源断や処理の停止を必要とし,システムの可用性を低下させる.本論文では,可用性を考慮したプロセスの複製によるライブフォレンジック手法を提案する.提案手法は,プロセスを調査対象とし,対象プロセスの仮想記憶空間を複製して,低オーバヘッドでスナップショットを作成し,複製先のプロセスのメモリ上の証拠を収集する.このようにプロセスの複製処理において,プロセスのテキスト部などのメモリ間コピーを抑制することで,システムの可用性への影響を抑制しつつ,ファイルシステムに痕跡を残さない攻撃に対処できる.また,周期的に処理を実行するプロセスに提案手法を適用した場合の遅延時間を評価した結果,および提案手法の有効性について述べる.

Most conventional digital forensic methods are designed to target hard disk drives, making them ineffective at detecting in-memory malware. In addition, in order to prevent a target system from changing the evidence on hard disk drives, it is necessary to shut down the system or stop its processing, reducing system availability. In this paper, we propose a live forensic method using process duplication to maintain high system availability. The proposed method duplicates the virtual address space of a target process for investigation, and obtains the relevant evidence from the duplicate. By reducing the occurrence of memory copy in the duplication process, it is possible to detect in-memory malware while retaining system availability. We describe the effectiveness of the proposed method, and furthermore, evaluate and report on the delay time when this method is applied to a periodically executing process.

収録刊行物

  • 情報処理学会論文誌

    情報処理学会論文誌 60(2), 696-705, 2019-02-15

各種コード

  • NII論文ID(NAID)
    170000150145
  • NII書誌ID(NCID)
    AN00116647
  • 本文言語コード
    JPN
  • 資料種別
    journal article
  • ISSN
    1882-7764
  • データ提供元
    IPSJ 
ページトップへ