メモリフォレンジックによる感染端末検出システムの設計と実装

湯下 弘祐 (1551117)


本研究では操作に習熟を要するメモリフォレンジックツールを適切にシステム化することで,アンチウイルスソフトなどでは検出できないマルウェアに感染した端末の検出を目的とする.昨今,サイバー攻撃が高度化しており,侵入を前提とした対策が呼びかけられているが,その対策の一つとしてメモリフォレンジックによる感染の検出がある.既存研究では既知のマルウェアや特定の種類の検体に有効な検出手法は提唱されていたが,振る舞いに基づいて多種多様なマルウェアへの感染を検出するのに利用可能な手法はなかった.また,メモリフォレンジックによる判定では,高度な解析知識が必要であり,そこが普及のネックの一つであった.そこで本研究では,メモリフォレンジックツールであるVolatility Frameworkの振る舞いに基づく検出機能を組み合わせて悪意の抽出を行うシステムを設計・実装を行い,感染端末およびその悪性プロセスの検出を試みた.結果として,今回実験で用いた検体では,TPR 78.3-87.0%,FPR 0-20%で検出することができ,またプロセス走査で悪性プロセスを認識できた場合は,全ての端末で悪性検体を不審度が高いプロセスとして認識することができた.