| Item type |
SIG Technical Reports(1) |
| 公開日 |
2018-02-28 |
| タイトル |
|
|
タイトル |
通信先の悪性判定のための応答シグネチャ生成法の検討 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Response Signature Generation method for Detecting Malicious Destinations |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
Network Security |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
| 著者所属 |
|
|
|
NTTセキュアプラットフォーム研究所 |
| 著者所属 |
|
|
|
NTTセキュアプラットフォーム研究所 |
| 著者所属 |
|
|
|
NTTセキュアプラットフォーム研究所 |
| 著者所属 |
|
|
|
NTTセキュアプラットフォーム研究所 |
| 著者所属 |
|
|
|
NTTセキュアプラットフォーム研究所 |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Secure Platform Laboratories |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Secure Platform Laboratories |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Secure Platform Laboratories |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Secure Platform Laboratories |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Secure Platform Laboratories |
| 著者名 |
篠宮, 一真
張, 一凡
胡, 博
神谷, 和憲
谷川, 真樹
|
| 著者名(英) |
Kazuma, Shinomiya
Iifan, Tyou
Bo, Hu
Kazunori, Kamiya
Masaki, Tanikawa
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
マルウェア感染後の対策としてブラックリストとのマッチングによる検知が有効である.しかし,ある端末の通信がブラックリストにマッチしたとしても,その端末が悪性サーバとの通信に成功し,感染しているとは限らない.攻撃者の攻撃検知回避や悪性サーバの遮断により,通信先が存在しない場合や,通信先が存在しても正常サーバとなっている場合がある.また端末の通信先が悪性サーバであったとしても,攻撃者の設定変更等により正しく接続できず,その端末が攻撃者の制御下にあるとは限らない.本研究では,悪性サーバへのリクエストだけでなく,応答まで含めたシグネチャを作成することで,不審なサーバとの通信が真に悪性であるか判定する技術の検討を行う.具体的には,大量のマルウェアの通信データから,マルウェアの発信するリクエストおよび通信先からの応答を抽出してクラスタリングを行い,頻出パターンマイニングにより, リクエストと応答を含むシグネチヤ (応答シグネチャ) を生成する.これにより得られた応答シグネチャを用いて,悪性通信の検知に関する評価を行ったところ,マルウェアのリクエストのみから生成したシグネチャに対し,誤検知を低減できたことから,マルウェアの感染判定に効果があることを示した. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Blacklist is frequently deployed for detecting malware-infected hosts. However, even when request traffic from one host is matched with blacklist, it is not always true that this host is under control of attacker. In many cases, attacker moves to different malicious servers and accessed server no more exists or becomes benign. Another possible case is that infected host does not successfully establish connection with malicious server due to configuration change by attacker. In this paper, we examine a technique to judge if a communication with the suspicious server is truly malicious or not. Our approach is firstly clustering large amount of malware traffic data with features on both request and response packets, then extracting common request and response patters as response signature by frequent pattern mining. The evaluation result shows that response signature is effective for judging malware-infected hosts in that FPR improves compared with request-only signature. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AA12628305 |
| 書誌情報 |
研究報告セキュリティ心理学とトラスト(SPT)
巻 2018-SPT-27,
号 28,
p. 1-4,
発行日 2018-02-28
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8671 |
| Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-SPT18027028.pdf (1.3 MB)
