MANETフォレンジクスにおけるBloom Filterによる効率的な証拠解析手法

全文

(1)「マルチメディア，分散，協調とモバイル(DICOMO2009)シンポジウム」平成21年7月. MANET フォレンジクスにおける Bloom Filter による効率的な証拠解析手法三科貴†. 大高全†. 白石陽††. 高橋修††. MANET には様々な脆弱性が指摘されている．それらへの対策として攻撃を通信トラフィックパターンで検知し，回避する方式が提案されている．これらの方式では，移動性や局所的なパケット増加による持続性の悪化が生じると，正常なノードであっても「攻撃している」と検知されるケースが多くなる．そこで，証拠収集･保全し，それを解析して提出を行い攻撃が存在したこと，及び攻撃を受けたことを証明する MANET フォレンジクスに着目し，後に自身が正しく動作していたことを証明する．我々はこれまでに，MANET フォレンジクスにおける証拠の収集方式として，あるノードの隣接ノードがモニタリングしたパケットをベースに証拠を作成し，あるノードに返送するモデルを提案した．提案したモデルでは，自身が中継した内容を自身で収集，解析できる必要があるが，その解析方法については未検討であった．本稿では，MANET のノードが CPU やメモリなどの計算資源が限られているといった制約を考慮し，効率的な解析方式の提案を行う．. Effective evidence analysis method by Bloom Filter for MANET forensics TAKASHI MISHINA† AKIRA OTAKA† YOH SHIRAISHI†† and OSAMU TAKAHASHI†† Recently, the Mobile ad-hoc networks (MANET) becomes very popular, and various weakness in security is pointed out. Specially, many security defect which a relay node relates to are pointed out. For example, the black hole attack, and the selfish node attack. It is studying on the methods which detects these attacks. But, the case which a normal relay node is recognized as wrongly as an attack node isn't avoided with the methods which detects these in the character of MANET. The relay node judged an attack node for a while has the possibility that a dispute appears because it is given to penalty excluded from the communication after that. We are studying about MANET forewnsics that the third party can prove a personal communication movement when a dispute appears. In this paper, we are proposed about the analytic method of the evidence in MANET forensics.. 1. はじめに近年，既存のインフラ環境に依存することなくクライアント端末のみで構築可能なモバイルアドホックネットワーク（MANET）の研究が盛んに行われている．MANET は，災害時に通常のネットワークインフラが壊れてしまった場合の一時的なネットワークとしての利用や，車と道路の間で交通情報を交換し合い，渋滞などを抑制する路車間ネットワーク，また戦争時に歩兵間や戦車間で情報を交換する軍事利用などが想定さているが，今後の技術の発展により多くの応用が期待されている． MANET にはさまざまな脆弱性が指摘されており，中でも通信にかかわる中継ノードが攻撃（受信パケットの廃棄など）を行う場合が特徴的な課題となっている．すなわち，中継ノードが正しく中継動作をしているかを確認することが重要となる．それらへの対策として攻撃を通信トラフィックのパターンで検知し，回避する方式が提案されている．代表的な方法には，送信元ノードが各中継ノードにおける受信・送信データパケットの統計情報を報告してもらい，各中継ノードからの報告を基に受信・送信パケット数を相互に比較することによって行う HADOF 方式[1]と，各中継ノードがそれぞれ一つ下流の中継動作を監視する Watchdog 方式[2]がある．いずれの方式でも，ノードの移動，局所的なパケットの輻輳，電波状態の悪化などが生じると，正常な中継ノードであってもパケットを受信できない場合があり，「攻撃している」（故意に廃棄している）と誤認されるケースが多くなる[3]．一旦攻撃ノードと誤認されてしまうと，そのノードは，経路構築時に除外されるだけではなく，そのノード自身が送受信したい場合に誰も中継してくれないなどの制限を受ける可能性があり，そのノードが緊急性の高い通信を行う際に大きな問題となる可能性が考えられる．特に，何らかの被害を被った場合には，訴訟問題に発展する可能性がある．このような理由から，正常に動作している中継ノードが不正中継ノードと誤認されてしまった場合には，そのノードが確かに正しく動作していたことを第三者に証明出来ることが重要となる．そこで通信ログなどを証拠として収集･保全し，それを解析することによって，攻撃が存在したこと，及び攻撃を受けたことを証明するフォレンジクス技術[4]に着目し， MANET への適用を行う．MANET に適用したフォレンジクス（MANET フォレンジクス）では，例え正常ノードが不正ノードと誤認されたとしても，後で正しく動作していたと第三者に証明できるようにすることを目的とする．これを実現するためには， MANET において各ノードがデータを中継する際，客観的に調査及び評価可能な証拠（通信ログなど）を生成し，収集，保全，解析することが可能とならなければ成らない．我々は，これまでに，MANET フォレンジクスにおける証拠の収集方式として，あ †. 公立はこだて未来大学大学院 Graduate School of Future University-Hakodate †† 公立はこだて未来大学 Future University-Hakodate. ― 815 ―.

(2) る中継ノードの隣接ノードがモニタリングしたパケットをベースに証拠を作成し，あるノードに返送するモデルを提案した[6]．提案したモデルでは，自身が中継した内容を自身で収集、解析できる必要があるが，その解析方法については未検討であった．証拠解析では，複数の証拠を収集した後，それらが偽造されていない（偽造されない仕組みがある）ことや，どのように証拠を得たのかということなどを総合立証していき，最終的にはそれらの証拠に対して証拠能力と証明力の有無を判断する補助を行う必要がある[5]．情報セキュリティにおいて，まずやらなければいけないこと（防御，追跡，通報など）を優先的に実行しつつもなお，それと同時に必要な証拠を保存し続け，解析を行う必要がある．しかし，MANET フォレンジクスではノードの計算資源が限られており，必要な情報の検索や視覚化といった証拠能力と証明力の有無の判断を補助することが難しい．そこで本稿では，MANET のノードが CPU やメモリなどの計算資源が限られているといった制約を考慮し，それらを有効活用するための効率的な解析方式の提案を行う．. 2. 関連研究本章では MANET フォレンジクスにおける証拠収集方式と，効率的な解析を実現するためのデータ構造である Bloom Filter について示す．. 2.1 証拠収集方式大高ら[6]は MANET フォレンジクスを適用した際の誤認の対象を中継ノードに限定し，中継したことを送信証明として周囲にいる目撃者から証拠を収集する方式を提案している．証拠収集方式の基本モデルを図 1 に示す．この方式ではある中継ノードがデータパケットを中継する際，0 ホップでデータパケットが届く周囲にいるノードは，証拠収集が行われていない場合，受信したパケット全てを破棄する．しかし何らかの問題が検知された場合，証拠収集を開始する．証拠収集中には，受信した全てのパケットを破棄せず，証拠生成処理及び証拠パケットの返送を行う．証拠パケットデータパケット. データパケット. ある．また同時に k 個のハッシュ関数が定義されており，それぞれがキー値を m 個の配列位置のいずれかにマッピングすることでデータ構造を実現する． Bloom Filter の特徴として，同様の集合的データ構造と比較して遙かに空間効率が良く，また集合に対する操作の時間効率が良いという点がある．表 1 に同様の集合的データ構造（平衡 2 分探索木，trie，ハッシュテーブル，単純な配列，線形リスト）との比較結果を示す．表 1 データ構造の比較平衡. Trie. ハッシュ. 配列. 線形. 空間効率. △. △. △. △. △. ◎. 探索. ○. ○. ◎. ◎. △. ◎. 追加. ○. ○. ◎. △. ◎. ◎. 削除. ○. ○. ◎. △. ◎. ×. 空間効率に関しては，要素データ自体を保持する必要があるか否かに着目し評価した．この場合，他の 5 つの集合的データ構造に対し，Bloom Filter は要素データ自体を保持していなくても要素の探索や追加が行えることから最も優れている．集合に対する操作（要素の探索，追加，削除）に関しては，これらの計算量に着目し評価した．この場合，Bloom Filter は要素の探索，追加を固定時間で行えるため優れているが，その特性上要素の削除は行うことができない．しかし，フォレンジクスでは収集した証拠に対し，一定期間の保全を行った後に別の媒体で長期保全するのが一般的であるため，削除は行う必要性が少ないと判断した．これら比較結果から，CPU やメモリなどの計算資源が限られている状況では空間効率や要素の探索などの面で Bloom Filter が有効であるため，本研究では Bloom Filter を用いた解析方式を提案する．また，Bloom Filter では，含んでいない要素が対象とする集合に含まれていると誤検知する False Positive が発生することがある．その確率は，m を Bloom Filter のビット数，n を集合に追加した要素数，k をハッシュ関数の個数とすると， k. − kn ⎡ ⎛ 1 ⎞ kn ⎤ ⎛ ⎞ ε= ⎢1 − ⎜1 − ⎟ ⎥ ≈ ⎜⎜1 − e m ⎟⎟ m ⎝ ⎠ ⎠ ⎣⎢ ⎦⎥ ⎝. 証拠パケット上流ノード. 中継ノード. 図1. 下流ノード. 証拠収集方式の基本モデル. k. (1). で与えられる．またハッシュ関数の個数 k を. 2.2 Bloom Filter Bloom Filter[7]は，ある要素が対象とする集合に含まれるかどうかを判定するためのデータ構造である．空の Bloom Filter は全て 0 に設定された m ビットのビット配列で. BF. k=. m 9m m ln 2 ≈ ≈ 0.7 n 13n n. と設定することで誤検知の確率が最小となる．. ― 816 ―. (2).

(3) 3. 提案方式本章ではフォレンジクスにおける証拠解析手法での対象範囲，解析を行う証拠パケットの内容，提案アルゴリズムなどについて示す．. 3.1 フォレンジクスにおける対象範囲一般的に，ネットワークフォレンジクスでは，定常的な運用業務の中で発見されたインシデントに対応して，インシデント発生後に訴訟まで実施するための法的プロセスと，事件発生理由からシステムの脆弱性を診断しそのセキュリティ対策を実施する技術的プロセスの 2 つが実施される[8][9]．本研究では，訴訟支援や，その後の定常的な運用形態の見直しなどに利用される，法的プロセスである証拠収集終了後の証拠の解析を対象範囲とする（図 2 参照）．. ネットワーク全体の方針. セキュリティポリシの策定. セキュリティ対策. ネットワーク運用・監視. ネットワーク監査. 法的プロセス証拠保全運用監視. 証拠解析. 訴訟支援. 情報収集. 本研究で対象とする範囲脆弱性診断. 対策実施. 耐性確認. (1) type 証拠要求時には，証拠要求パケットであることを示し，証拠パケット転送時には，証拠パケットであることを示す． (2) FHL（Forensics Header Length） FH のパケットヘッダの長さを示す． (3) reserved 後に他の情報を付加可能なように拡張可能とする領域を示す． (4) パケット長パケットの長さを示す． (5) 証拠依頼先数証拠要求時にパケットの転送先（証拠生成先）数を示す． (6) チェックサムヘッダのチェックサムを示す． (7) 送信元 IP ノード IP アドレスデータパケットの送信元ノードの IP アドレスを示す． (8) 宛先ノード IP アドレスデータパケットの宛先ノードの IP アドレスを示す． (9) 証拠収集ノード IP アドレス証拠を収集する自分自身の IP アドレスを示す． (10) 証拠生成ノード IP アドレス証拠を生成したノードの IP アドレスを示す． (11) オプション証拠生成時刻及び証拠生成位置情報を格納する．ただし，ネットワーク全体の方針で決定された，他の情報も付加可能なように拡張可能とする．. 技術的プロセス. データパケット. フォレンジクス. 図2. EH. IPH. FH. フォレンジクスにおける対象範囲. Hash. 3.2 証拠生成・受信処理 3.2.1. Payload. 証拠パケット. 証拠情報収集プロトコル. 2.1 節に示した証拠収集方式で用いたデータパケット，及びそのデータパケットに対して証拠生成処理を行った証拠パケットの内容を図 3 に示し，MANET フォレンジクスで使用されるフォレンジクスヘッダ（FH）の構成を図 4 に示す．. ― 817 ―. EH. IPH. FH. codes 図3. データパケットと証拠パケットの内容.

(4) 証拠生成者情報. 32bit. No. 種別. type. FHL reserved パケット長証拠依頼先数チェックサム送信元ノードIPアドレス宛先ノードIPアドレス証拠収集ノードIPアドレス証拠生成ノード1IPアドレス. 証拠生成位置. 送信内容（Hash）. codes. 証拠情報テーブル. 証拠解析は，証拠の分類・整理，検索･抽出，結果の提示という 3 つの大きな処理に分けられる．図 6 に証拠解析処理の流れを示す．. フォレンジクスヘッダ. 解析開始. 証拠生成処理 n個の証拠をaBFに追加. 証拠生成処理では以下の処理を行う．最初に，type を証拠パケットの状態に設定する．次に，データパケットのハッシュ値を計算し，Hash フィールドに格納することにより，データの大きさを一定にすると共に，内容が不正に読み取られる可能性を抑える．更に，このハッシュ値に対してデジタル署名を行い．Codes フィールドに格納することで改竄不可能とする．次に，受信したデータパケットの FH に証拠生成ノード IP アドレスを格納する．その際，自身が証拠生成ノードに指定されている場合，複数の証拠生成ノード IP アドレスから自身の IP アドレスだけを残す．最後に，証拠生成時刻及び証拠生成位置情報を受信したデータパケットの FH のオプションに格納する．証拠パケットの内容は，証拠パケットを返送する際に使用するイーサネットヘッダ（EH）・IP ヘッダ（IPH），フォレンジクスヘッダ（FH）， IP ペイロードのハッシュ値を計算したもの（Hash），Hash に対しデジタル署名を行ったもの（codes）となり，これを証拠収集ノードに返送する．. 3.2.3. 証拠生成時刻. 3.3 証拠解析処理の流れ. …. 3.2.2. 証拠生成時刻. 図5. オプション. 図4. 証拠生成ノード情報. 証拠の分類・整理 Yes. 証拠が残っているか No 検索する要素の決定，sBF生成 sBFとaBFを比較 aBFが残っているか No 全文検索. Yes. 検索･抽出. デジタル署名の検証視覚化・レポート作成. 証拠受信処理. 結果の提示. 解析終了. 証拠パケットを受信した証拠収集ノードは，そのパケットが上流・下流・その他のいずれから収集したかを示す種別を判別し，図 5 に示す証拠情報テーブルに格納する．本研究ではこの中でも，証拠としての重要性が高い，いつ，どこで，誰が，どのような証拠を生成したかを示す以下の 4 つの情報を解析に用いる．・送信内容（Hash）・証拠生成時刻（FH のオプション部）・証拠生成ノード情報（FH の目撃ノード IP アドレス部）・証拠生成位置情報（FH のオプション部）. 図6. 証拠解析処理の流れ. 3.3.1 証拠の分類・整理通信中に証拠を収集する際，後の処理を容易にするため，Bloom Filter を生成する．この場合，全てのビットを 0 に設定した m ビットのビット列と，異なるハッシュ関数を k 個用意する．証拠を収集した際に証拠パケットから 3.2 節で示した 4 つの情報(送信内容，証拠生成時刻，証拠生成ノード情報，証拠生成位置情報)を抜き出す．その 4. ― 818 ―.

(5) つの情報のそれぞれにハッシュ関数を用いて m ビットに収まるハッシュ値を計算した後に，ビット列の対応するビットを 1 にする．これを全ての証拠から n 個抜き出して行い，n 個の証拠が含む要素を表す Bloom Filter （assortment Bloom Filter，以下 aBF）とする．全ての証拠に対してこの操作を行った後，終了する．aBF を生成することで，検索範囲の限定が可能となり，計算回数を減らすことができる．証拠の分類・整理の処理を図 7 に示す． Bloom Filter （m bit）. All evidence ・送信内容. evidence No.1 n個. evidence No.2. ・証拠生成時刻要素のハッシュ抜き出し・証拠生成関数ノード情報. evidence No.3 …. ・証拠生成位置情報. 論理和（or）. aBF （No.1 ~ No.3）. 3.3.2 検索･抽出証拠の中から 3.2 節で示した 4 つの情報のうち，求めている特定の要素を持つものを見つけ出して抽出するために，事前処理として作成した Bloom Filter（aBF）を利用して検索を行う．この場合，要素 d が現在までに収集した証拠の中に含まれているかを検索する．まず 3.3.2 節で用いたように，全てのビットを 0 に設定した m ビットのビット列と，異なるハッシュ関数を k 個用意する．次に要素 d を k 個のハッシュ関数を用いてハッシュ値を計算し，その計算したハッシュ値に対応する m ビットのビット列のビットを 1 にする．これを検索する要素の Bloom Filter（search Bloom Filter，以下 sBF）とする．そして sBF と分類・整理で生成した aBF 全てとを比較し，sBF を包含する aBF を検索する．包含する aBF が発見された場合，その aBF に対応する範囲の証拠に対して全文検索を行い，目的の要素を含む証拠を抽出する．検索･抽出の処理を図 8 に示す．結果として，検索を行った特定の要素（ある位置やある時刻など）を含む証拠全てが抽出される． aBF （No.1 ~ No.3）. All evidence. 検索する要素（d）. ・送信内容. evidence No.4 n個. evidence No.5. 三科貴 (IP = 192.48.0.66). ・証拠生成時刻要素のハッシュ抜き出し・証拠生成関数ノード情報. evidence No.6 …. ・証拠生成位置情報. aBF （No.4 ~ No.6）. 公立はこだて未来大学 (lat=32.15440&lon=136.14343). aBF （No.7 ~ No.9）. 論理和（or）ハッシュ関数. aBF （No.4 ~ No.6）. aBF （No.10 ~ No.12）. 図7. sBF を包含する aBF を検索. 証拠の分類・整理. 後々，特定の要素を含む証拠ではなく，ある区切られた時間内で，又はある一定の地域内で生成された証拠のように範囲を指定した解析を行うことが想定される場合，証拠の分類・整理の段階から処理を行う．その処理は，証拠生成時刻の場合，y 年 m 月 d 日，h 時 n 分 s 秒という値からハッシュ値を計算するとき，h 時 n 分 s 秒を削除することで日単位でのまとまりに変換する，又は d 日の部分も含めて削除することで月単位に変換する．証拠生成位置情報の場合，緯度経度の値を，位置情報から住所表記へ変換を行う逆ジオコーディングサービス[10]を用いることで，範囲を指定した解析を可能とする．. 論理和(or). sBF. sBF を包含する aBF から証拠を抜き出し，全文検索. aBF （No.1 ~ No.3）. 図8. ― 819 ―. aBF （No.13 ~ No.15）. 検索･抽出.

(6) 3.3.3 結果の提示特定の要素を持つ証拠抽出された後，デジタル署名の検証や，専門知識を要する情報の抽象化を行い，結果を解釈するために証拠状況の再現などを行う視覚化，再現された内容やログ情報などの解析結果のレポート出力を行う．デジタル署名の検証では，収集した証拠が改竄されていないことを示し，証拠の信頼性を上げることができる．また，ネットワークセキュリティにおいて，視覚化は有効であることが報告されている[11][12][13]．Firewall や IDS の出力する膨大な量のログは，そのままでは解析に適当ではないが，これを視覚化表示することで適度な抽象化を行い，人間の視覚的認知能力を利用して必要な情報を迅速に発見できる．レポート出力に関しても同様に重要である．解析を行った結果に対し，信頼を得るための正しい情報開示の方法として，適切な情報をまとめる必要がある．現在，本提案方式の証拠の分類・整理から検索･抽出を経た結果得られた重要な情報(送信内容，証拠生成時刻，証拠生成ノード情報，証拠生成位置情報)を，MANET において客観的に調査及び評価を行うために適切に視覚化する方法を検討中である．. 4. 実装評価今回，提案方式を実装し，評価を行った．実装は，3.3.1 節で示した，全ての証拠から n 個抜き出して aBF の作成を行う方法を用いた．この方法以外にも，収集した証拠から 4 つの情報を抜き出し，その情報の要素毎に aBF を作成する方法が考えられる（図 9 参照）．・送信内容. evidence No.1. ・証拠生成時刻. All evidence. ・証拠生成ノード情報・証拠生成位置情報. ・送信内容・証拠生成時刻. evidence No.1 evidence No.2. 要素の抜き出し・証拠生成ノード情報. ハッシュ関数. ・送信内容. evidence No.2. ・証拠生成時刻. …. ・証拠生成位置情報. ・証拠生成ノード情報・証拠生成位置情報. 要素毎に論理和（or）. aBF （送信内容）. aBF （証拠生成時刻）. aBF （証拠生成ノード情報）. aBF （証拠生成位置情報）. 図9. しかし，この方法では証拠数に対して aBF が少なく，Bloom Filter を用いたことによる検索範囲の限定が行えない．そのため計算回数が変わらず，aBF を作成するために余計なメモリを消費し，本稿の目的である CPU やメモリなどの計算資源を効率的に活用することが達成できない．また，証拠生成時刻の aBF や証拠生成ノード情報の aBF など，1 つ 1 つの aBF に対して全ての証拠分の情報を格納することになり，誤検知の確率が非常に高くなることが考えられる．よって，今回の実装では情報の種類毎に aBF を作成する方法ではなく，全ての証拠から n 個抜き出して aBF の作成を行う方法を用いる．評価では，提案方式によるデータの分類・整理から検索･抽出を行い，特定の要素を含む証拠を発見するまでのノードに対する影響を，提案方式を適用しない場合との比較を行った．シミュレーション環境を表 2 に示す．表 2 シミュレーション環境 OS CentOS 5 CPU AMD Athlon 64 X2 6000+ 3.00 GHz Memory 1024 MB 10000 証拠数 8000 Bloom Filter（aBF）のビット数（m） 10 100 1000 1 つの Bloom Filter（aBF）に追加する証拠数（n） 1 1400 140 14 1 ハッシュ関数の数（k）解析を行う証拠数を 10000，Bloom Filter（aBF）のビット数を 8000bit で固定する． 1 つの Bloom Filter（aBF）に追加する証拠数（n）を 1 から 1000 まで変化させ，その値に合わせて使用するハッシュ関数の数を，2.2 節で示した計算式によって求めた 1 から 1400 まで変化させる．実験の評価は次の指標を用いるものとする． (1) 実行時間 sBF と aBF 全てを比較し，sBF を包含する aBF を検索する．その aBF に対応する範囲の証拠全てを検索し，目的の要素を含む証拠を抽出するまでの時間を示す． (2) メモリ使用量提案方式を用いた際，aBF を生成するために使用するメモリ領域を示す． (3) 誤検知（False Positive）の確率 sBF と aBF 全てとを比較し，sBF を包含する aBF を検索する際に発生する誤検知（False Positive）の確率を示す．. 情報の要素毎に作成した aBF. ― 820 ―.

(7) 4.1 結果と考察 (1) 実行時間実行時間の比較実験結果を図 10 に示す．提案方式を適用した場合，n の値に関わらず，非適用時と比較して特定の要素を含む証拠を発見するまでの時間が減少していることが示された．その中でも n=100 の場合に最も実行時間が減少している．これは，検索を行う際に aBF と sBF を比較する回数，及び aBF に対応する範囲の証拠全てを検索する回数が他の場合と比較して最も少ないことが要因であると考えられる．. n=1 の場合，メモリ使用量が 10M byte と最も多く，n=1000 の場合，10k byte と最も少ない．つまり，1 つの aBF に対して多くの証拠を追加した場合にメモリ使用量が減少することが確認された． (3) 誤検知（False Positive）の確率誤検知の確率は 2.2 節（1）から求められる．n=1 の場合，誤検知の確率が 0%と最も低く，n=1000 の場合，約 39%と最も高い．つまり，1 つの aBF に対して多くの証拠を追加した場合，aBF のビット数は限られているためハッシュ値が衝突してしまい，謝っている要素が抽出されてしまう．この理由から，n の値が低いほど誤検知の確率が低下することが確認された．. msec 250. n=1 n = 10 n = 100 n = 1000. 全文検索 0 BloomFilter(検索) 200. 表 3 メモリ使用量と誤検知の確率の実験結果生成される aBF の数メモリ使用量（byte）誤検知の確率（%） 10000 10 M 0 1000 1M 1.87E-37 100 100 k 0.006717766 10 10 k 39.34882957. 150. 4.2 まとめ 234.1. 226.5749. 証拠数を 10000，aBF のビット数を 8000bit で固定し，1 つの aBF に追加する証拠数とそれに伴ったハッシュ関数の数を変化させた今回の実験では，aBF に追加する証拠数によって実行時間，メモリ使用量，誤検知の確率が大きく異なり，それぞれの値はトレードオフの関係となった．MANET フォレンジクスにおける証拠解析では，証拠を正確に抽出すること，及び計算資源が限られていることを考慮すると， n=100 が最も適している．. 100. 50 21.95 19.3493 0. 0 全文検索のみ. n=1. n=10. 30.65 2.3315 n=100. 47.85 1.2279 n=1000. 5. おわりに. 方式. 図 10. 実行時間の実験結果. (2) メモリ使用量提案方式を適用したことで発生する aBF によるメモリ使用量，及び誤検知の確率を表 3 に示す．メモリ使用量は次の計算式から求められる． m×. 証拠数 n. （3）. 本論文では，MANET フォレンジクスにおいて自身が中継した内容を自身で証明するための効率的な証拠解析方式についての提案，及び実装評価を行った． MANET におけるそれぞれのノードが端末内にどのような要素を含む証拠を保持しているかを，限られた計算資源で効率的に行うために誤検知(False Positive)の確率を考慮し，Bloom Filter を用いることで実現した．また，提案方式をシミュレーションすることで効率的な解析が可能であることを示した．提案方式を適用していない場合と比較した時に，検索回数の減少による実行時間の大幅な減少を確認した．提案方式を適用した際に使用するメモリ量や誤検知の確. ― 821 ―.

(8) 率に関しても，n の値を適切に設定することで余分な計算資源を使用せず，正しい証拠を抽出できることを確認した．. 6. 今後の課題 MANET フォレンジクスの場合，通常のネットワークフォレンジクスとは違い，独自の情報が含まれる．視覚化を行う際，検索結果に対して，操作者と解析システムとの対話的な動作による位置情報や証拠生成ノード情報を考慮した誤検知の除去など，効果的に解析結果を使用した視覚化・レポートの出力について検討する必要がある．また，今回は 1 つの aBF に追加する証拠数，それに伴ったハッシュ関数の数を変化させてシミュレーションを行ったが，証拠数や aBF のビット数を変動させた場合や， aBF に追加する証拠数，ハッシュ関数の数，証拠数，aBF のビット数の全てを変動させた場合のノードに対する影響を実験・評価する必要がある．. 12) Koike, H., Ohno, K. and Koizumi, K.: Visualizing Cyber Attacks using IP Matrix, Proc. IEEE Workshop on Visualization for Computer Security(VizSEC2005), pp.91-98, IEEE Computer Society(2005) 13) 向坂真一,小池英樹:内部ネットワーク監視を目的とした時間･論理･地理情報の統合的視覚化システム,情報処理学会論文誌 49(1), pp.503-512, (2008). 参考文献 1) Yu, W., Sun, Y. and Liu, K.: HADOF: Defense against routing disruptions in mobile ad-hoc networks, IEEE INFOCOM, Vol.2, p.1252(2005) 2) S. Marti, T. Giuli, K. Lai, and M. Baker,.: Mitigating Routing Misbehavior in Mobile Ad Hoc Networks, Proceedings of the Sixth annual ACM/IEEE International Conference on Mobile Computing and Networking, , pp.255-265(2000) 3) 横山信,中根由和, 高橋修, 宮本衛市: アドホックネットワークにおける高精度な不正動作ノードの検出と防御方式の提案と実装評価, 情報処理学会論文誌, Vol.49, No.2, pp.639-649(2008) 4) Robert Jones: インターネットフォレンジック-ネット犯罪を解決する電子証拠の収集と分析, 株式会社オライリージャパン(2006) 5) 間形文彦,高橋克巳,金井敦: デジタル証拠の法的証明力を高めるための要件に関する一考察, 暗号とセキュリティシンポジウム(SCIS)論文集, (2008) 6) 大高全,高橋修: MANET におけるフォレンジクス技術適用に関する提案,情報処理学会研究報告, Vol.2008, No.18, pp.217-222(2008) 7) Bloom, B. H. Space/time trade-offs in hash coding with allowable errors, Communications of the ACM, Vol.13, No.7, pp.422-426(1970) 8) 辻井重男(監修): デジタル・フォレンジック辞典,デジタル・フォレンジック研究会(2006) 9) 仁佐瀬剛美,伊藤光恭:「ネットワーク情報を活用するフォレンジクス技術の動向」. NTT ジャーナル, pp.36-40(2004) 10) Rgeocode.php – 逆ジオコーディングサービス, http://refits.cgk.affrc.go.jp/tsrv/jp/rgeocode.html 11) Abdullah, K., Lee, C., Conti, G.J., Copeland, J.A. and Stasko, J.T.: IDS RainStorm:Visualizing IDS Alarms, Proc. IEEE Workshop on Visualization for Computer Security(VizSEC 2005), pp.1-10, IEEE Computer Society(2005). ― 822 ―.

(9)