2013年2月15日
仮想化技術による安全なファイルアクセスログ外部保存機構
情報処理学会論文誌
- ,
- ,
- 巻
- 54
- 号
- 2
- 開始ページ
- 585
- 終了ページ
- 595
- 記述言語
- 日本語
- 掲載種別
- 研究論文(学術雑誌)
- 出版者・発行元
- 情報処理学会
近年,計算機が攻撃を受けた後で,その被害を抑制する技術や被害を確実に把握する技術の重要性が高まっており,仮想化技術によりゲストOSの挙動を観測することで,汎用OSの安全性を高める研究がさかんに行われている.しかしながら,ゲストOSの観測については,計算機に被害を与えるマルウェアの解析の高粒度化のためにメモリ検査が行われる場合がほとんどであり,重要な観測項目であるファイルアクセスを捕捉するための手法は確立されていない.本論文では,ファイルシステムのフィルタドライバをハイパーバイザと観測可能にすることで,ゲストOSのファイルアクセスを捕捉し,アクセスログを外部のハイパーバイザに安全かつ確実に保存することが可能である.また,ファイルアクセス観測とあわせることで,従来のメモリアクセスの監視と解析では検出が困難なマルウェアに関しても検出を容易にし,同時に従来のメモリ観測解析による検出範囲の拡大を可能にしている.Recently, it is more important to grasp and control the damage of attacks safely, so much research has been done to increase the security of the general-purpose OS by observing the behavior using virtualization technology. In this paper, we propose a mechanism to observe and logging the file access in guest OS from virtual machine monitor using the inter-domain communication by the filter driver. Our mechanism can be applied independently of the implementation of virtual machine monitor. By hooking file accesses in the guest OS, log messages are transferred and stored to the virtual machine monitor, so our approach is effective from the viewpoint of preservation of the log. We show the design and implementation of our mechanism for both Xen and KVM. Furthermore, we report the results of measuring the performance when accessing files as evaluation.
- リンク情報
- ID情報
-
- ISSN : 1882-7764
- CiNii Articles ID : 110009537055
- CiNii Books ID : AN00116647