2024-03-29T11:03:59Zhttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_oaipmhoai:ipsj.ixsq.nii.ac.jp:000747782023-11-14T00:51:14Z06164:06165:06462:06463
TCPフィンガープリントによる悪意のある通信の分析Analysis of malicious traffic based on TCP fingerprintingjpn攻撃通信データhttp://id.nii.ac.jp/1001/00074778/Conference Paperhttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_action_common_download&item_id=74778&item_no=1&attribute_id=1&file_no=1Copyright (c) 2009 by the Information Processing Society of Japan早稲田大学理工学術院基幹理工学研究科早稲田大学理工学術院基幹理工学研究科NTT サービスインテグレーション基盤研究所早稲田大学理工学術院基幹理工学研究科木佐森, 幸太下田, 晃弘森, 達哉後藤, 滋樹Trojan.Srizbi に代表されるフルカーネル・マルウェア(FKM) は独自のネットワークドライバを実装し,カーネルモードの通信を行うことで監視ツールからの隠匿を試みる.これらのネットワークドライバは独自の実装であるため,既存 OS とは異なる TCP ヘッダの特徴 (フィンガープリント,以下 FP) を有することが知られている.本研究では CCC DATAset の攻撃通信データを分析対象とし,FKM の可能性が高い独自なFP を抽出する.また,その中で出現頻度の高い FP を有する IP アドレス発の通信を詳細に分析する.さらに,発見した FP を他の実ネットワーク計測データに適用し,FKM 感染ホストの実態調査および通信パターン分析を行い,提案した技法の有効性を検討する.Modern full-kernel malware (FKM) such as Trojan.Srizbi is known to have its ownnetwork functionality and use it directly from kernel-mode for evasion purpose, concealing fromrecent alert tools. These network drivers tend to have its own implementation which exhibitsintrinsic TCP fingerprints. We first attempt to extract FKM-possible TCP fingerprints usingCCC (Cyber Clean Center) data sets, then we analyze traffic sequences which have frequretlyoccuredsource IP addresses. We then study the properties of the fingerprints and the activitiesof the hosts that are likely infected with FKM through the analysis of CCC data sets and othertraffic data sets of several production networks.コンピュータセキュリティシンポジウム2009 (CSS2009) 論文集2009162011-10-122011-07-04