Skip to main content
QUICK REVIEW

[論文レビュー] BitAV: Fast Anti-Malware by Distributed Blockchain Consensus and Feedforward Scanning

Charles Noyes|arXiv (Cornell University)|Jan 7, 2016
Advanced Malware Detection Techniques参考文献 21被引用数 73
ひとこと要約

BitAVは、分散型のブロックチェーンベースのマルウェア対策システムを提案する。分散型の合意形成とフィードフォワードスキャンを活用することで、14倍高速なマルウェア検出とメモリ使用量の削減を実現した。信頼できない署名配布のための新規ブロックチェーン変種と、レイヤードブルームフィルタによるO(1)の照会を活用することで、スキャンスルーレットは350MB/sを超えるまで向上し、業界標準と比較して更新配信時間も500%短縮された。

ABSTRACT

I present the design and implementation of a novel anti-malware environment called BitAV. BitAV allows for the decentralization of the update and maintenance mechanisms of the software, traditionally performed by a central host, and uses a staggered scanning mechanism in order to improve performance. The peer-to-peer network maintenance mechanism lowered the average update propagation speed by 500% and is far less susceptible to targeted denial-of-service attacks. The feedforward scanning mechanism significantly improved end-to-end performance of the malware matching system, to a degree of an average 14x increase, by decomposing the file matching process into efficient queries that operate in verifiably constant time.

研究の動機と目的

  • ムーアの法則が進展しても、スキャン速度がネットワークスループットに追いついていないという、アンチマルウェア性能の停滞に取り組む。
  • 中央集権的な更新サーバーに依存する従来の署名ベースのウイルス対策システムのスケーラビリティと中央集権的リスクを克服する。
  • 分散型で暗号的に検証可能な更新を用いて、高速でスケーラブルかつ信頼できないマルウェア検出を可能にするシステムを設計する。
  • 新規のフィードフォワードスキャンメカニズムにより、定数時間(O(1))の署名照合を実現し、エンドツーエンドのスキャンパフォーマンスを向上させる。
  • 標的型のサービス拒否攻撃や偏った脅威インテリジェンスに強く、コミュニティ主導で運用されるオープンソースのアンチマルウェアアーキテクチャを構築する。

提案手法

  • 中央集権的機関に依存せず、分散型で信頼できないマルウェア署名配布を可能にする新規ブロックチェーン変種を採用する。
  • 2層構造のブルームフィルタ(キャッシュ効率の良いブルームフィルタを上位に、より高コストなブルームフィルタを下位に配置)を用いたフィードフォワードスキャンメカニズムを実装し、O(1)時間のクエリに分解することで、ファイルマッチングを実現する。
  • 大容量のファイルバッファに対して、CUDAアクセcelerated MD5ハッシュ生成を活用し、性能を顕著に向上させる。
  • P2Pネットワークを設計してピアツーピアの更新配信を実現し、中央集権的サーバーへの依存を低減するとともに、DoS攻撃に対する耐性を高める。
  • AWSインスタンスとハニーポットを用いた実世界シミュレーションを実施し、更新遅延を業界標準ソリューションと比較して測定する。
  • 参加ノード間で自然に形成されたP2Pネットワーク構造を可視化・検証するため、社会的ネットワーク分析(OpenOrdアルゴリズム)を適用する。

実験結果

リサーチクエスチョン

  • RQ1分散型でブロックチェーンベースのシステムは、中央集権的更新モデルと比較して、マルウェア署名の配信をより高速に実現できるか?
  • RQ2レイヤードブルームフィルタを用いたフィードフォワードスキャンは、低メモリ使用量を維持しつつ、署名照合時間をO(1)に短縮できるか?
  • RQ3P2Pネットワークアーキテクチャは、アンチマルウェアシステムにおける標的型サービス拒否攻撃に対して、どの程度耐性を高めるか?
  • RQ4スキャン速度と更新配信の観点から、BitAVのパフォーマンスは商用およびオープンソースのウイルス対策ソリューションと比較してどの程度優れているか?
  • RQ5コミュニティ主導で暗号的に検証可能な更新メカニズムは、バイアスを排除し、マルウェア署名の追加に対する信頼を高められるか?

主な発見

  • BitAVは、従来手法と比較して平均14倍のエンドツーエンドスキャンパフォーマンス向上を達成し、スループットは350MB/sを超えた。
  • フィードフォワードスキャンメカニズムにより、O(1)の署名照合時間(遅延とメモリオーバーヘッドの両方を顕著に低減)を実現した。
  • 業界標準ソリューションと比較して、平均的な更新配信時間を500%短縮し、新規マルウェア脅威への対応速度が著しく向上した。
  • P2Pネットワーク構造はテスト中に自然に形成されたことが、社会的ネットワーク分析で確認され、強固な分散化と自己組織化の特性を示した。
  • 更新およびメンテナンスパイプラインに単一の障害点がないため、DoS攻撃に対して高い耐性を示した。
  • VirusTotalのAPIと独自のハニーポットを用いた実世界テストにより、BitAVが商用ソリューションよりも著しく速く新規マルウェアサンプルを検出できたことが確認された。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。