| Item type |
SIG Technical Reports(1) |
| 公開日 |
2016-02-25 |
| タイトル |
|
|
タイトル |
プロセスの出現頻度や通信状態に着目した不審プロセス判定 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
A Suspicious Processes Detection Scheme using Process Frequency and Network State |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
不正プログラム解析 |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
| 著者所属 |
|
|
|
情報通信研究機構 |
| 著者所属 |
|
|
|
情報通信研究機構 |
| 著者所属 |
|
|
|
情報通信研究機構 |
| 著者所属 |
|
|
|
情報通信研究機構 |
| 著者所属 |
|
|
|
情報通信研究機構 |
| 著者所属(英) |
|
|
|
en |
|
|
National Institute of Information and Communications Technology |
| 著者所属(英) |
|
|
|
en |
|
|
National Institute of Information and Communications Technology |
| 著者所属(英) |
|
|
|
en |
|
|
National Institute of Information and Communications Technology |
| 著者所属(英) |
|
|
|
en |
|
|
National Institute of Information and Communications Technology |
| 著者所属(英) |
|
|
|
en |
|
|
National Institute of Information and Communications Technology |
| 著者名 |
中里, 純二
津田, 侑
衛藤, 将史
井上, 大介
中尾, 康二
|
| 著者名(英) |
Junji, Nakazato
Yu, Tsuda
Masashi, Eto
Daisuke, Inoue
Koji, Nakao
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
標的型攻撃による重大なセキュリティインシデントが多く発生している.標的型攻撃で利用されるマルウェアは,アンチウイルスソフトウェアなどで検知する事が難しく,感染が発見されるまで長期間に渡り索敵などの情報収集や攻撃活動を行なう.そこで,本研究では普段利用されることのない不審なプロセスの動作をいち早く見つけ出す手法の提案を行なう.各ホスト内部で動作するプロセスリストを定期的に取得し,特定のユーザのみが利用する不審な通信を伴ったプロセスの抽出を行なう.同一プロセスが動作するホストの数や頻度,さらにネットワーク状態からプロセス毎に特徴量を算出し,各プロセスの不審度を決定する.プロセスの動作頻度や動作ホスト数のみでは,ユーザ環境に依存して動作するプロセスを誤検知する恐れがあるため,ネットワーク状態 (通信先など) を監視する事で通常通信以外の不審な通信 (C&C や RAT 通信など) を行なうプロセスをいち早く検知する事が可能になる. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Many serious security incidents caused by the targeted attacks have been occurred. The targeted at tacks can not be prevented easily, because a malware that is used in the attack is difficult to detect by antivirus software. Consequently, the malware has been active for a long term in order to access important user, service, and specific system in a targeted organization. In this paper we proposed a new suspicious process detection scheme. The proposed scheme decides suspicious degree of a process by calculating feature value constructed with process frequency and number of user who executing the same process. Moreover, we use the network conditions, such as communication of a process in order to reduce a false positive. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AA12628305 |
| 書誌情報 |
研究報告セキュリティ心理学とトラスト(SPT)
巻 2016-SPT-17,
号 14,
p. 1-6,
発行日 2016-02-25
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8671 |
| Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-SPT16017014.pdf (932.1 kB)
