WEKO3
アイテム
TCP Connection Tableを悪用した組織内ネットワークへのマルウェア拡散の特性評価と対策検討
https://doi.org/10.20729/00206791
https://doi.org/10.20729/00206791448e6e99-ddaa-45c5-9b65-b1063fa8f4d1
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-JNL6109011.pdf (2.3 MB)
|
Copyright (c) 2020 by the Information Processing Society of Japan
|
|
| オープンアクセス | ||
| Item type | Journal(1) | |||||||
|---|---|---|---|---|---|---|---|---|
| 公開日 | 2020-09-15 | |||||||
| タイトル | ||||||||
| タイトル | TCP Connection Tableを悪用した組織内ネットワークへのマルウェア拡散の特性評価と対策検討 | |||||||
| タイトル | ||||||||
| 言語 | en | |||||||
| タイトル | Understanding the Malware Propagation in Enterprise Network by Abusing TCP Connection Table | |||||||
| 言語 | ||||||||
| 言語 | jpn | |||||||
| キーワード | ||||||||
| 主題Scheme | Other | |||||||
| 主題 | [特集:実社会を支える暗号・セキュリティ・プライバシ技術] マルウェア対策,標的型攻撃,感染シミュレーション | |||||||
| 資源タイプ | ||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_6501 | |||||||
| 資源タイプ | journal article | |||||||
| ID登録 | ||||||||
| ID登録 | 10.20729/00206791 | |||||||
| ID登録タイプ | JaLC | |||||||
| 著者所属 | ||||||||
| 株式会社日立製作所 | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Hitachi Ltd. | ||||||||
| 著者名 |
川口, 信隆
× 川口, 信隆
|
|||||||
| 著者名(英) |
Nobutaka, Kawaguchi
× Nobutaka, Kawaguchi
|
|||||||
| 論文抄録 | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | 本稿では,アドレススキャンのかわりに感染端末内のTCP接続情報(TCP Connection Table,TCT)を悪用して組織内ネットワークに拡散するTCTマルウェアに対する特性評価および拡散抑止方式を検討する.まず,1万台以上の端末の通信ログが含まれる公開データセットを用いたシミュレーションにより,TCTマルウェアの拡散速度は数十scan/sのアドレススキャン型マルウェアに相当し,組織内ダークネット監視や異常検知などの従来方式では早期発見が難しいことを明らかにした.さらに,TCTに偽の接続情報を挿入することでTCTマルウェアの拡散を早期検知・抑制する方式を設計・実装した.シミュレーションおよび実際のTCTマルウェアNotPetyaを用いた評価実験を通じ,本方式により拡散台数を数分の1に抑えられることを確認した. | |||||||
| 論文抄録(英) | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | In this paper, we study characteristics of malware which propagates over enterprise networks by abusing TCP Connection Table (TCT) retrieved from compromised hosts instead of IP address scans, and design a countermeasure method. First, through simulations with open dataset including connection logs from more than 10,000 hosts, we found that the propagation speed of TCT malware is comparable to IP address scan malware with a rate of tens scan/s and traditional approaches such as darknet monitoring and anomaly detections are ineffective against the propagation. Thus, second, we design and implement a detection and containment method that inserts a few decoy connections into TCT of each host. Through simulations and a real TCT malware NotPetya, we confirmed that the proposed method can reduce the number of compromised hosts to a few percent. | |||||||
| 書誌レコードID | ||||||||
| 収録物識別子タイプ | NCID | |||||||
| 収録物識別子 | AN00116647 | |||||||
| 書誌情報 |
情報処理学会論文誌 巻 61, 号 9, p. 1428-1443, 発行日 2020-09-15 |
|||||||
| ISSN | ||||||||
| 収録物識別子タイプ | ISSN | |||||||
| 収録物識別子 | 1882-7764 | |||||||
