仮想化技術による安全なファイルアクセスログ外部保存機構

情報処理学会 Web Site

書誌事項

タイトル別名
  • カソウカ ギジュツ ニ ヨル アンゼン ナ ファイルアクセスログ ガイブ ホゾン キコウ
  • External Storage Mechanism for Preserving File Access Log with Virtualization Technology

この論文をさがす

抄録

近年,計算機が攻撃を受けた後で,その被害を抑制する技術や被害を確実に把握する技術の重要性が高まっており,仮想化技術によりゲストOSの挙動を観測することで,汎用OSの安全性を高める研究がさかんに行われている.しかしながら,ゲストOSの観測については,計算機に被害を与えるマルウェアの解析の高粒度化のためにメモリ検査が行われる場合がほとんどであり,重要な観測項目であるファイルアクセスを捕捉するための手法は確立されていない.本論文では,ファイルシステムのフィルタドライバをハイパーバイザと観測可能にすることで,ゲストOSのファイルアクセスを捕捉し,アクセスログを外部のハイパーバイザに安全かつ確実に保存することが可能である.また,ファイルアクセス観測とあわせることで,従来のメモリアクセスの監視と解析では検出が困難なマルウェアに関しても検出を容易にし,同時に従来のメモリ観測解析による検出範囲の拡大を可能にしている.

Recently, it is more important to grasp and control the damage of attacks safely, so much research has been done to increase the security of the general-purpose OS by observing the behavior using virtualization technology. In this paper, we propose a mechanism to observe and logging the file access in guest OS from virtual machine monitor using the inter-domain communication by the filter driver. Our mechanism can be applied independently of the implementation of virtual machine monitor. By hooking file accesses in the guest OS, log messages are transferred and stored to the virtual machine monitor, so our approach is effective from the viewpoint of preservation of the log. We show the design and implementation of our mechanism for both Xen and KVM. Furthermore, we report the results of measuring the performance when accessing files as evaluation.

収録刊行物

関連プロジェクト

もっと見る

キーワード

詳細情報 詳細情報について

問題の指摘

ページトップへ