2024-03-29T23:54:52Zhttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_oaipmhoai:ipsj.ixsq.nii.ac.jp:000448432024-03-29T05:26:34Z01164:03925:03941:03945
感染プロセスに着目したワーム検知方式の提案A Proposal of Worm Detection Method Following the Infection Processjpnhttp://id.nii.ac.jp/1001/00044843/Technical Reporthttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_action_common_download&item_id=44843&item_no=1&attribute_id=1&file_no=1Copyright (c) 2005 by the Information Processing Society of JapanNTTデータNTTデータNTTデータNTTデータNTTデータ前田, 秀介馬場, 達也大谷, 尚通角, 将高稲田, 勉近年 BlasterやSasserなどの“ワーム”による被害が深刻化している. ワームを検知する代表的な手法としてシグネチャマッチング方式があるが この方式では 既知のワームしか検知できないという問題がある.このため “ワームらしさ”を検知することで未知のものも含めて検知する方式がいくつか提案されている. しかし これらの方式は誤検知(false positive)が多く 必要な通信の遮断や 不要な警告の過多による対処遅れの原因になるなどの問題がある. 本稿ではワームが感染の際に必要とするプロセス(挙動とその順序)に着目することにより 誤検知を抑えつつ 効果的にワームを検知する方式を提案する.The network incidents caused by Internet worms are increasing every year. The signature matching method for worm detection is effective only for known-worms, and is not effective for their variants and unknown-worms. Several methods for unknown-worm detection have been proposed. These methods detect worm’s typical behaviors. However, such methods generate many false positives. In this paper, we propose an improved worm detection method following the infection process that is necessary for Internet worms to spread. AA11235941情報処理学会研究報告コンピュータセキュリティ(CSEC)200533(2004-CSEC-028)3273322005-03-232009-06-30