想定される FAL のパターンについての考察

5.1節より、攻撃者のファイルアクセスの傾向として探索的な活動ないし、広域で横断 的なアクセスを行うことが挙げられる。このファイルアクセスのパターン例をTSL上に表 現して、考察を行う。はじめに、基準となるTSLのモデルが図5.1である。そして、ユー ザまたは攻撃者によるファイルアクセスのパターンとして深さ優先アクセス、幅優先ア クセス、ランダムアクセス、集中的アクセスの4つが考えられる。この4つのパターンを TSL上で表現したものが図5.2、5.3、5.4、5.5である。

図5.1: 基準TSL

・基準TSLの話を簡単に図5.1は、深さ3の完全二分木である。各ノードについている

ラベルはファイルアクセスのカウントを示したものである。よって全てのノードに大して ファイルアクセスが行われたTSLである。

図5.2: 深さ探索によるアクセス

図5.2は基準TSL（図5.1）のノードを持つファイルシステム上である深さ探索が行わ

れたときのFALから作られるTSLである。深さ探索とは、根から始まり子のノードから 子のノードへと木の深い部分に降りていく探索方法であり、目的のノードもしくは葉の ノードに至るまで降り続ける。葉のノードに達したときは、親のノードに戻り、別の子の ノードへと移動していく探索方法である。図5.2はノードaの子ノードの探索が終わった 段階でのTSLである。ゆえに、ノードが’/’ , ’/a’, ’/a/c’, ’/a/d, ’/a/c/g’, ’/a/c/h’, ’/a/d/i, ’/a/d/j’

で構成されるTSLが形成される。

図5.3は基準TSLのノードを持つファイルシステム上である幅探索が行われたときの FALから作られるTSLである。幅探索とは、根から始まり根の子のノードを全て探索し た後、その子のノードへと移動を行っていく探索方法である。そして、目的のノードもし くは葉のノードに至るまで降り続ける。図5.3は深さ2までのノードの探索が終わった段 階でのTSLである。ゆえに、ノードが’/’ , ’/a’, ’/a/c’, ’/a/d, ’/b/e’, ’/b/f’で構成されるTSL が形成される。

図5.4は基準TSLのノードを持つファイルシステム上であるランダムアクセスが行わ れたときのFALから作られるTSLである。ノードa,b,c,d,i,m,nに対してファイルアクセ スが行われたときに’/’ , ’/a’, ’/a/c’, ’/a/d, ’/a/d/i, ’/b/f/m’, ’/b/f/n’で構成されるTSLが形成 される。

図5.5は基準TSLのノードを持つファイルシステム上である集中的なアクセスが行わ

図5.3: 幅探索によるアクセス

図5.4: ランダムなアクセス

図5.5: 集中的なアクセス

れたときのFALから作られるTSLである。ノードa,b,fに対して1回のファイルアクセス が行われ、ノードe,k,lに対して10回のファイルアクセスが行われたとき、’/’ , ’/a’, ’/b/e’,

’/b/e/k, ’/b/e/l’, ’/b/f’で構成されるTSLが形成される。

以上の図5.2、5.3、5.4、5.5より、探索的なファイルアクセスと集中的なファイルア クセスによって形成されるTSLの概形は異なることがわかる。