Development of Timeline-Based Event Log Analysis Support Tool Using Traces of Unauthorized Access

IPSJ

Bibliographic Information

Other Title
  • 不正アクセスの痕跡情報を用いたタイムライン型イベントログ解析支援ツールの開発

Description

企業・組織のサービス,システムから情報を窃取することを目的とする攻撃に関連して,RAT(遠隔操作ツール)による攻撃被害事例が多数報告されている.近年ではこのような特定の対象に限定して攻撃を行う標的型攻撃の脅威が増加傾向にあり,感染原因や被害範囲を特定する手法としてデジタル・フォレンジックの重要性が高まっている.本研究では,Windowsを対象として,不正に侵入を受けたシステム上の痕跡情報を用いて,攻撃者が行った一連の攻撃活動を可視化し,攻撃手順及びファイルの改ざんなどの特徴的なイベントを検出するログ解析支援ツールを開発した.本論文では,インシデント対応時の痕跡情報抽出作業で用いる抽出の判断基準を定義し,ログ解析支援ツールに実装した内容について述べる.次に,平常時に記録されるログのフィルタ処理,ファイル改ざん等の不正な操作が行われた可能性の高いログを抽出して可視化するタイムライン型のイベントログ解析支援ツールとその適用例について報告する.

Many damages caused by RAT have been reported in relation to the attacks aimed at stealing information of corporate services and systems. In recent years, the threat from such targeted attacks has been increasing, and digital forensics has become more important as a method to identify the cause of infection and the damage scales. In this research, we have developed the Windows log analysis tool to visualize a timeline of attack activities and detect characteristic events, such as attack procedures and file falsification, by using the evidences that have been illegally intruded. In this paper, we report how to define the criterion for extraction in incident responses, and how to implement the log analysis tool. Furthermore, we report a timeline-based event log visualization function which filters logs recorded in normal times and extracts or visualizes logs with high probability of illegal operations such as falsification, showing its application examples.

Journal

Keywords

Details 詳細情報について

Report a problem

Back to top