Improvement of digital forensics applying keystroke authentication

セキュリティインシデントが発生した場合，早急に攻撃の全体を把握するために被害端末の電磁記録を解析するデジタルフォレンジックが有効となる．しかしながら，不正アクセスなどの攻撃活動は，シグネチャマッチなどの手法では検知しきれないことが多く，通常利用との区別が難しいためフォレンジック調査を難航させている．この課題に対し，本研究ではキーストローク認証を応用し，タイピング特性から異常検知を行うことで未知のユーザによる操作の検出を可能にし，デジタル・フォレンジックの高度化/高速化を目指す．そのために，本研究では CNN と VAE を組み合わせたニューラルネットワークを用いて異常検知を行い，攻撃者による操作を検出することを目標とした．実験の結果，実際の不正操作で入力されうる 10 キーという短いタイピングに対し，攻撃者の操作を検出しうることが示された．また，実際のフォレンジック調査を想定した評価を行い，今回の精度が目標精度 80% のうち最大で 75% を達成していることが分かった．以上のことから，デジタルフォレンジックの現場に対するキーストローク認証の応用可能性が示された．

In the event of a security incident, digital forensics, which analyzes the electromagnetic records of the victim terminal, is effective in quickly grasping the entirety of the attack. However, attack activities such as unauthorized access often cannot be detected by methods such as signature matching, and it is difficult to distinguish from normal use, making forensic investigations difficult. To solve this problem, in this research, we apply keystroke authentication and detect anomalies from typing characteristics to enable detection of operations by unknown users, aiming to advance and speed up digital forensics. Therefore, in this research, we aimed to detect anomaly detection using a neural network that combines CNN and VAE, and to detect operations by attackers. As a result of the experiment, it was shown that the attacker’s operation can be detected for short typing of 10 keys that can be input by actual unauthorized operation. In addition, we conducted an evaluation assuming an actual forensic investigation, and found that the maximum accuracy achieved this time was 65% out of the target accuracy of 80%. From the above, the applicability of keystroke authentication to the field of digital forensics was shown.