NSRL RDS

NSRL(National Software Reference Library)はアメリカ国立標準技術研究所(NIST: National Institute of Standards and Technology)主導のプロジェクトです。様々なソフトウェアのハッシュ値で構成される参照用データセット(RDS: Reference Data Set)を作成し、調査対象のファイルと照合することにより調査の信頼性、効率の向上を実現しています。

RDSのフォーマットは下記のホワイトペーパーで解説されています。

Data Formats of the NSRL Reference Data Set (RDS) Distribution
http://www.nsrl.nist.gov/Documents/Data-Formats-of-the-NSRL-Reference-Data-Set-16.pdf

本ページではRDSのフォーマット、構成を簡単に紹介し、NSRLJPでどのように扱っているかを記載します。RDSの詳細についてはホワイトペーパーを参照してください。

RDSは4種類のファイル(レコード)で構成されます。各ファイルの役割とファイル内のフィールドは以下の通りです。

  1. NSRLFile.txt (FILE Record) ファイル単位
    "ハッシュ値(SHA-1, MD5, CRC32)、ファイル名、ファイルサイズ、製品コード、OSコード、スペシャルコード"
  2. NSRLMfg.txt (MANUFACTURER Record) メーカ単位
    "メーカコード、メーカ名"
  3. NSRLOS.txt (OPERATING SYSTEM Record) OS単位
    "OSコード、OS名、OSバージョン、メーカコード"
  4. NSRLProd.txt (PRODUCT Record) 製品単位
    "製品コード、製品名、製品バージョン、OSコード、メーカコード、言語、タイプ" 

この4種類のうちNSRLFile.txtがRDSの中枢データです。NSRLFile.txt内の製品コードはNSRLProd.txtと、OSコードはNSRLOS.txtと連動していて、それぞれの構成情報が記載されています。また、NSRLOS.txt内のメーカコードはNSRLMfg.txtに記載されています。

各フィールドに格納できる型としては、ファイルサイズと製品コードのみ数値型(integer)で、その他のフィールドは全て文字(列)型(char)と定義されています。

スペシャルコード(SpecialCode)はファイルに対して個別にフラグを設定するためのフィールドで、maliciousを示す"M"やspecialを示す"S"が設定できるようになっています。NSRLJPではフォレンジック調査に不要と思われる既知のデータのみを対象とする方針とし、マルウェアやグレーな判定をされやすいソフトウェアを対象から除外し、SpecialCodeは全てブランク(normal)としています。

NSRLJPではNSRLと干渉しないようにメーカコード、OSコード、製品コードを新しく割り当てています。

  • メーカコード 5001〜
  • OSコード 1001〜
  • 製品コード 50001〜
Tags

Add new comment

Plain text

  • No HTML tags allowed.
  • Lines and paragraphs break automatically.
  • Web page addresses and email addresses turn into links automatically.