[論文レビュー] Strategies for Intrusion Monitoring in Cloud Services
本論文は、MAC(メッセージ認証コード)の連鎖とシャミアの閾値秘密分散を組み合わせて、監査可能で再構成可能なクラウドログを作成し、いくつかのログノードが侵害されてもデジタル・フォレンジック対応を可能にすることを提案する。
Effective activity and event monitoring is an essential aspect of digital forensic readiness. Techniques for capturing log and other event data are familiar from conventional networked hosts and transfer directly to the Cloud context. In both contexts, a major concern is the risk that monitoring systems may be targeted and impaired by intruders seeking to conceal their illicit presence and activities. We outline an approach to intrusion monitoring that aims (i)~to ensure the credibility of log data and (ii)~provide a means of data sharing that supports log reconstruction in the event that one or more logging systems is maliciously impaired.
研究の動機と目的
- デジタルフォレンジック対応を支えるために、クラウド環境における監査可能なデータの必要性を動機づける。
- クラウドサービスモデルと侵入コンテキストを特徴づけ、監視上の課題を特定する。
- ログの真正性を保持し、ハック後の再構築を可能にする監視アプローチを提案する。
- MACと秘密分散を用いた分散ロギングが部分的侵害に耐えられることを示す。
提案手法
- 各ノードに対してセキュアブートプロセスを実装し、イベントをMAC連鎖で記録する。
- 各イベントに対して秘密鍵を用いてMACを計算し、それをログエントリに追加する。
- Dから作成されたn個のデータ片D_iを用いて、(k,n)閾値方式でログデータを分散する。
- Dを中央に保存するとともに、任意のk個のデータ片から再構成できるよう、nノード上にもD_iを保存する。
- 新しいイベントごとに、現在のイベントを前のMACと受信ノードに結びつける新しいMAC連鎖を使用する。
- MAC連鎖を介して完全性を検証するため、ハック後に任意のk個の片からDを再構成できるようにする。
実験結果
リサーチクエスチョン
- RQ1ロギングノードが侵害される可能性のあるクラウドサービスで、ログの真正性と完全性をどのように維持できるか?
- RQ2分散ストレージと閾値暗号を用いて部分的な改ざんの後にログデータを再構成できるか?
- RQ3過度なオーバーヘッドを伴わずフォレンジック再構築を支援する、実用的でスケーラブルな監視アプローチは何か?
- RQ4MAC連鎖とシャミアの秘密分割を組み込むことが、仮想化されたクラウド環境におけるデジタル・フォレンジック対応をどのように強化するか。
主な発見
- MACベースの連鎖は、個々のログイベントの真正性と完全性を提供し、秘密鍵なしでは改ざんを防ぐ。
- (k,n)閾値方式は、ノードの一部が侵害されたり故障しても完全なログデータの再構成を可能にする。
- 複数のクラウドノードにわたるログ片の分散保存は、侵入後のイベントのフォレンジック再構築を支援する。
- このアプローチはハック後の法科学分析を支援し、違反通知と説明責任の規制要件に適合する。
- この解決策は、循環する仮想マシン全体で回復可能で検証可能なログを維持することにより、クラウドサービスのフォレンジック対応を高める。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。