| Item type |
Journal(1) |
| 公開日 |
2017-09-15 |
| タイトル |
|
|
タイトル |
攻撃者に察知されにくい情報を用いたC&Cサーバの検知手法の提案と評価 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Proposal and Evaluation of Method for Detecting C&C Server Using Unobserved Information by Attackers |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
[特集:高度化するサイバー攻撃に対応するコンピュータセキュリティ技術] 標的型攻撃,C&Cサーバ,WHOIS,SVM,ニューラルネットワーク |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_6501 |
|
資源タイプ |
journal article |
| 著者所属 |
|
|
|
東京電機大学 |
| 著者所属 |
|
|
|
東京電機大学 |
| 著者所属 |
|
|
|
東京電機大学 |
| 著者所属(英) |
|
|
|
en |
|
|
Tokyo Denki University |
| 著者所属(英) |
|
|
|
en |
|
|
Tokyo Denki University |
| 著者所属(英) |
|
|
|
en |
|
|
Tokyo Denki University |
| 著者名 |
久山, 真宏
柿崎, 淑郎
佐々木, 良一
|
| 著者名(英) |
Masahiro, Kuyama
Yoshio, Kakizaki
Ryoichi, Sasaki
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
近年,標的型攻撃による被害が問題になっている.標的型攻撃では,特定の企業や組織にマルウェアを感染させた後にC&Cサーバとの間で様々な通信を行い,情報を接収する.マルウェアを感染させる手口は年々巧妙化しており,マルウェアの感染を防ぐための対策だけでは不十分である.そのため,次善の対策としてC&Cサーバの通信を検知することがあげられる.しかし,C&Cサーバを検知する従来手法では,解析する過程で攻撃者に解析していることを知られてしまう危険性がある.そこで,本研究では攻撃者に解析されていることを知られずに解析する手法を提案する.本手法では,攻撃者に知られない情報としてドメインのWHOISと検索エンジンから得られた特徴と教師あり機械学習を用いてC&Cサーバの判別を行う.提案手法に実データを適用し交差検証法でC&Cサーバの判別を行った結果,約98.9%と比較的高い検知率を得ることができ,有効性の見通しを得ることができたので報告する. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Damages caused by targeted attacks are a serious problem. It is not enough to prevent only the initial infections, because techniques for targeted attacks have become more sophisticated every year, especially those seeking to illegally acquire confidential information. In a targeted attack, various communications are performed between the command and control server (C&C server) and the local area network (LAN), including the terminal infected with malware. It is possible to find the infected terminal by monitoring the communications with the C&C server although the attackers may notice it. In this study, we propose a method for identifying the C&C server by using the feature points obtained from WHOIS and the Google Search of C&C servers' domains, which are unobserved information by attackers, for supervised machine learning. Moreover, we conduct an experiment that applies real data, and we verify the usefulness of our method by a cross-validation method. As a result of the experiment, we could obtain a high detection rate of about 98.9%. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AN00116647 |
| 書誌情報 |
情報処理学会論文誌
巻 58,
号 9,
p. 1410-1418,
発行日 2017-09-15
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
1882-7764 |
IPSJ-JNL5809004.pdf (1.8 MB)
