| Item type |
SIG Technical Reports(1) |
| 公開日 |
2017-02-23 |
| タイトル |
|
|
タイトル |
標的型攻撃に対する侵害範囲特定ツールの開発と評価 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Development and Evaluation of Infringement Range Identifying Tool against Targeted Attacks |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
マルウェア |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
| 著者所属 |
|
|
|
東京電機大学 |
| 著者所属 |
|
|
|
東京電機大学 |
| 著者所属 |
|
|
|
東京電機大学 |
| 著者所属 |
|
|
|
東京電機大学 |
| 著者所属(英) |
|
|
|
en |
|
|
Tokyo Denki University |
| 著者所属(英) |
|
|
|
en |
|
|
Tokyo Denki University |
| 著者所属(英) |
|
|
|
en |
|
|
Tokyo Denki University |
| 著者所属(英) |
|
|
|
en |
|
|
Tokyo Denki University |
| 著者名 |
島川, 貴裕
佐藤, 信
久山, 真宏
佐々木, 良一
|
| 著者名(英) |
Takahiro, Shimakawa
Makoto, Sato
Masahiro, Kuyama
Ryoichi, Sasaki
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
近年,特定の企業や組織を攻撃対象とする標的型攻撃が社会的な問題となっている.標的型攻撃は,段階的に攻撃を進めていく過程がある.中でも攻撃の核心部となるのは,初期段階で乗っ取った攻撃基盤をベースに,次々と端末を乗っ取りながら侵害範囲を拡大していく内部侵入 ・ 調査段階である.そのため,不正プログラムの感染を検知された端末から不正プログラムを調査 ・ 駆除するのみでは,被害範囲の想定ができず攻撃の対処を誤ってしまう可能性がある.そこで本稿では,内部侵入 ・ 調査段階に焦点をあて,複数の端末のプロセスログを解析 ・ 突合することで侵害範囲を特定する手法を提案する.また,提案手法を実現するプロトタイプのプログラムを開発し,攻撃者による侵害範囲の拡大を模擬した評価実験を行った.その結果,侵害範囲を約 120 秒で特定することができた.これにより,被害範囲の想定や優先して調査すべき端末の特定が可能であり,事故対応から事業の復旧までの時間を短縮できると考えられる. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
In recent years, targeted attacks aiming at specific companies and organizations have become a social problem. Targeted attacks have a process of gradually advancing attacks. Especially, the core part of the attack is the internal invasion / investigation stage which will expand the range of infringement while taking over the terminal one after another based on the attack base taken over at the initial stage. Therefore, it is impossible to assume the scope of damage only by investigating and removing malicious program from terminals detected infection by a malicious program. As a result, there is a possibility of erroneously coping with the attack. In this paper, we propose a method to identify the range of infringement by analyzing and matching process logs of multiple terminals focusing on the internal invasion / investigation stage. We developed a prototype program that realizes the proposed method and conducted an evaluation experiment simulating expansion the range of infringement by an attacker. As a result of experiments, it was possible to identify the range of infringement in about 120 seconds. Thus, it is possible to assume the range of damage and identify terminals to be investigated preferentially, and it is considered that the time from accident response to restoration of business can be shortened. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AA11235941 |
| 書誌情報 |
研究報告コンピュータセキュリティ(CSEC)
巻 2017-CSEC-76,
号 34,
p. 1-8,
発行日 2017-02-23
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8655 |
| Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-CSEC17076034.pdf (1.7 MB)
