| Item type |
SIG Technical Reports(1) |
| 公開日 |
2017-07-07 |
| タイトル |
|
|
タイトル |
MDSを用いた結託型走査グループの活動状況の分析手法 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
An analysis method of collaborative scanning group activity using MDS |
| 言語 |
|
|
言語 |
jpn |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
| 著者所属 |
|
|
|
防衛大学校理工学研究科サイバーセキュリティ工学 |
| 著者所属 |
|
|
|
防衛大学校理工学研究科サイバーセキュリティ工学 |
| 著者名 |
梶川, 慶太
中村, 康弘
|
| 著者名(英) |
Keita, Kajikawa
Yasuhiro, Nakamura
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
不特定多数のネットワークアドレスやポートに対する走査活動は,サイバー攻撃の準備段階として行われる可能性があるため,日頃からこれを観測 ・ 分析しておく必要がある.とくに走査活動検知を回避するための低速走査や分散型走査は,走査パケットの頻度に基づく検知を困難にする.そこでこの研究では,不特定多数のアドレスやポートに向けた低速走査や分散型走査の検知および傾向の分析を目的として,TCP のコネクション要求に擬似応答を返すことにより初期ペイロードを取得し,そのハッシュ値の同一性に基づいて低速かつ分散化された一連の走査活動を行うアドレスグループを検知する手法を提案する.さらに,これまでは 1 日単位の検知であったが,1 年分の検知結果を元に MDS を用いて複数のアドレスグループの類似性を検証した.異なるペイロードを送付するアドレスグループであっても,挙動が類似するアドレスグループは何らかの関連性を持つものと推定できる.実データに対して提案手法を適用し,初期ペイロードが異なる複数のアドレスグループ間の挙動の類似性について検証した結果を示す. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Scanning activities for unspecified large numbers of network addresses and ports may be happen as preparation stages of cyber attacks, it is necessary to observe and analyze this on a daily basis. In particular, low-speed scanning and distributed scanning to avoid detection of scanning activity makes detection based on the frequency of scanning packets difficult. Therefore, in this research, in order to detect and analyze trends for low-speed scanning and distributed scanning for unspecified large numbers of addresses and ports, we obtains the initial payload by returning the pseudo response to the TCP connection request, and we propose a method to detect address groups which perform a series of low-speed scanning and distributed scanning based on the identity of the hash value. Furthermore, the research so far is detection on a per-day basis, we verified similarity of multiple address groups using MDS based on detection results for one year. Even in the address group that sends different payloads, we can be presumed that address groups with similar behavior have some relevance. We show the results of verifying the similarity of behaviors among multiple address groups with different initial payload by applying the proposed method to real data. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AA11235941 |
| 書誌情報 |
研究報告コンピュータセキュリティ(CSEC)
巻 2017-CSEC-78,
号 7,
p. 1-6,
発行日 2017-07-07
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8655 |
| Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-CSEC17078007.pdf (1.1 MB)
