VMMを用いたマルウェア検出システムのためのシグネチャデータ更新機能とメモリデータ検査機能

仮想マシンモニタ （VMM） を用いてセキュリティを向上するアプローチとして，ストレージ暗号化などのセキュリティ機能を提供する BitVisor や，BitVisor を拡張してマルウェアの検出機能を持たせた BVMD が提案されている．BVMD では，入出力データをマルウェアのシグネチャと照合することにより，マルウェアを検出する．しかし，BVMD は，動的なシグネチャデータの更新や，メモリ上のみに存在するマルウェアの検出はできない．そこで本研究では，BVMD のためのシグネチャデータ更新機能とメモリ上のマルウェアを検出する機能を提案する．シグネチャデータ更新機能に関しては，ゲスト OS 上にシグネチャの更新データを置き，それを VMM に読み込ませる．ただし，ゲスト OS 上に置いたデータは攻撃者によって改ざんされる心配があるので電子署名によってデータの整合性をとる．メモリ上のマルウェアを検出する機能に関しては，検査するメモリのアドレス範囲をゲスト OS のユーザが指定し，そのメモリの内容を VMM がシグネチャと照合する．我々はこれらの機能で BVMD を拡張し，シグネチャデータ更新とマルウェア検出の実験を行った．Much literature has been published on approaches for security enhancement that are based on a virtual machine monitor (VMM). Examples of them are BitVisor and BVMD; BitVisor provides many security facilities including storage encryption, and BVMD is an extension to BitVisor that provides a malware detection facility by matching I/O data with malware signatures. Unfortunately, BVMD does not support dynamic update of malware signatures or detection of malware that is stored only on memory. In this work, we propose two mechanisms for BVMD: a mechanism for signature update and a mechanism for detecting on-memory malware. The user of the first mechanism places new signature data on the guest OS and requests the VMM to read them. Since the signature data may be modified by an attacker, the mechanism guarantees its integrity by using electronic signatures. The user of the second mechanism specifies the address range of the memory that the user requests to inspect, and then the VMM matches the content of the memory with malware signatures. We extended BVMD with these mechanisms and conducted experiments of signature data update and malware detection.