ログイン 新規登録
言語:

WEKO3
  • トップ
  • ランキング
To
lat lon distance
To

Field does not validate



インデックスリンク

インデックスツリー

メールアドレスを入力してください。

WEKO

One fine body…

WEKO

One fine body…

アイテム

  1. シンポジウム
  2. シンポジウムシリーズ
  3. コンピュータセキュリティシンポジウム
  4. 2020

マルウェア感染後のHTTP通信の特徴に基づく異常検知

https://ipsj.ixsq.nii.ac.jp/records/208569
https://ipsj.ixsq.nii.ac.jp/records/208569
3d25b673-0c4e-4a3f-9da5-d62a396ca048
名前 / ファイル ライセンス アクション
IPSJCSS2020141.pdf IPSJCSS2020141.pdf (938.3 kB)
Copyright (c) 2020 by the Information Processing Society of Japan
オープンアクセス
Item type Symposium(1)
公開日 2020-10-19
タイトル
タイトル マルウェア感染後のHTTP通信の特徴に基づく異常検知
タイトル
言語 en
タイトル Anomaly Detection Based on Characteristics of HTTP Communication after Malware Infection
言語
言語 jpn
キーワード
主題Scheme Other
主題 Gaussian Mixture Model,User-Agent,Referer,ベイズ確率,MWS Dataset
資源タイプ
資源タイプ識別子 http://purl.org/coar/resource_type/c_5794
資源タイプ conference paper
著者所属
大阪府立大学大学院人間社会システム科学研究科
著者所属
大阪府立大学大学院人間社会システム科学研究科
著者所属
大阪府立大学大学院人間社会システム科学研究科
著者所属(英)
en
Graduate School of Humanities and Sustainable System Sciences Osaka Prefecture University
著者所属(英)
en
Graduate School of Humanities and Sustainable System Sciences Osaka Prefecture University
著者所属(英)
en
Graduate School of Humanities and Sustainable System Sciences Osaka Prefecture University
著者名 中久木, 達哉

× 中久木, 達哉

中久木, 達哉
Search repository
青木, 茂樹

× 青木, 茂樹

青木, 茂樹
Search repository
宮本, 貴朗

× 宮本, 貴朗

宮本, 貴朗
Search repository
著者名(英) Tatsuya, Nakakuki

× Tatsuya, Nakakuki

en Tatsuya, Nakakuki
Search repository
Shigeki, Aoki

× Shigeki, Aoki

en Shigeki, Aoki
Search repository
Takao, Miyamoto

× Takao, Miyamoto

en Takao, Miyamoto
Search repository
論文抄録
内容記述タイプ Other
内容記述 近年増加傾向にある標的型攻撃は,組織内ネットワークに侵入するために入念な調査を行い侵入可能な方法を探し出し,通常の通信に紛れて侵入するため,マルウェアの侵入を防ぐための対策だけでは十分ではない.そこで,マルウェア感染後の活動を検知する対策の重要性が高まっている.標的型攻撃のマルウェアは感染後にC2サーバと決まった書式で通信を行うことが多く,セッション毎のパケットサイズ等に特徴が現れると考えられる.また,HTTPプロトコルでのマルウェアの通信では,検知を逃れるためにUser-AgentやReferrerに特定の文字列を設定している可能性が高いと考えられる.本研究ではパケットのヘッダ情報からセッション毎のパケットサイズ等の特徴を抽出しGMMで学習する.その後,観測されたセッションの特徴量,User-Agent および Referrerの出現確率をベイズの定理で統合することで不審な通信を検知する手法を提案する.
論文抄録(英)
内容記述タイプ Other
内容記述 APT(Advanced Persistent Threats) have been observed frequently, in order to infiltrate an organization network, attackers investigate carefully and find ways to penetrate a network. They infiltrate the organization network through normal communication. Thus, it is not enough to prevent malware infiltration. And methods for detecting activities after malware infection are becoming important. Malwares often communicate with C2 server in fixed formats after infection, and it is considered that changes in packet size and so on, between sessions are small. In addition, there is a high possibility that a specific string is set in the User-Agent or Referer to evade detection in HTTP protocol malware communication. In this paper, we propose a method for detecting suspicious communication by integrating session features, occurrence probabilities of User-Agent and Referer in classes using Bayesian theorem. In experiments, we confirmed the effectiveness of our method using MWS dataset.
書誌情報 コンピュータセキュリティシンポジウム2020論文集

p. 1017-1024, 発行日 2020-10-19
出版者
言語 ja
出版者 情報処理学会
戻る
0
views
See details
Views

Versions

Ver.1 2025-01-19 18:48:26.538724
Show All versions

Share

Mendeley Twitter Facebook Print Addthis

Cite as

エクスポート

OAI-PMH
  • OAI-PMH JPCOAR
  • OAI-PMH DublinCore
  • OAI-PMH DDI
Other Formats
  • JSON
  • BIBTEX

Confirm

Powered by WEKO3

Powered by WEKO3