1W-03
4KiBブロックごとの類似ハッシュの検出性能の評価
○都築夏樹,平野 学(豊田高専)
セキュリティインシデント対応時のディスク解析において、ファイル検出を効率的に行うためにハッシュ値が利用されている。しかし、ハッシュ値は同一のファイルのみを検出するため、数ビットでも異なるファイルは検出できない。この問題を解決するために類似ハッシュが提案されている。類似ハッシュは特徴的なビットパターンからハッシュ値を生成するため、数ビット異なっていても似たビットパターンを持つファイルなら検出することができる。関連研究では類似ハッシュアルゴリズムの一つである sdhash をファイル単位で適用した際の評価は行われているが、sdhash をディスクイメージに対してブロック単位で適用したときの評価はなされていない。そこで本研究ではディスクイメージから4KiBのブロックを取り出し、各ブロックに類似ハッシュアルゴリズムの sdhash を適用する。実験ではWindows 8.1、MacOS X 10.9、CentOS 6.5に類似ハッシュを適用する。そして、類似度の度数の分布から、類似度の閾値と検出できるブロックの関係を考察する。
footer 著作権について 倫理綱領 プライバシーポリシー セキュリティ 情報処理学会