NSRL RDS
NSRL(National Software Reference Library)はアメリカ国立標準技術研究所(NIST: National Institute of Standards and Technology)主導のプロジェクトです。様々なソフトウェアのハッシュ値で構成される参照用データセット(RDS: Reference Data Set)を作成し、調査対象のファイルと照合することにより調査の信頼性、効率の向上を実現しています。
RDSのフォーマットは下記のホワイトペーパーで解説されています。
Data Formats of the NSRL Reference Data Set (RDS) Distribution
http://www.nsrl.nist.gov/Documents/Data-Formats-of-the-NSRL-Reference-Data-Set-16.pdf
本ページではRDSのフォーマット、構成を簡単に紹介し、NSRLJPでどのように扱っているかを記載します。RDSの詳細についてはホワイトペーパーを参照してください。
RDSは4種類のファイル(レコード)で構成されます。各ファイルの役割とファイル内のフィールドは以下の通りです。
- NSRLFile.txt (FILE Record) ファイル単位
"ハッシュ値(SHA-1, MD5, CRC32)、ファイル名、ファイルサイズ、製品コード、OSコード、スペシャルコード" - NSRLMfg.txt (MANUFACTURER Record) メーカ単位
"メーカコード、メーカ名" - NSRLOS.txt (OPERATING SYSTEM Record) OS単位
"OSコード、OS名、OSバージョン、メーカコード" - NSRLProd.txt (PRODUCT Record) 製品単位
"製品コード、製品名、製品バージョン、OSコード、メーカコード、言語、タイプ"
この4種類のうちNSRLFile.txtがRDSの中枢データです。NSRLFile.txt内の製品コードはNSRLProd.txtと、OSコードはNSRLOS.txtと連動していて、それぞれの構成情報が記載されています。また、NSRLOS.txt内のメーカコードはNSRLMfg.txtに記載されています。
各フィールドに格納できる型としては、ファイルサイズと製品コードのみ数値型(integer)で、その他のフィールドは全て文字(列)型(char)と定義されています。
スペシャルコード(SpecialCode)はファイルに対して個別にフラグを設定するためのフィールドで、maliciousを示す"M"やspecialを示す"S"が設定できるようになっています。NSRLJPではフォレンジック調査に不要と思われる既知のデータのみを対象とする方針とし、マルウェアやグレーな判定をされやすいソフトウェアを対象から除外し、SpecialCodeは全てブランク(normal)としています。
NSRLJPではNSRLと干渉しないようにメーカコード、OSコード、製品コードを新しく割り当てています。
- メーカコード 5001〜
- OSコード 1001〜
- 製品コード 50001〜
コメントを追加