WEKO3
アイテム
HTTP Proxyを使ったCookie挿入による不正通信の検出
https://ipsj.ixsq.nii.ac.jp/records/98228
https://ipsj.ixsq.nii.ac.jp/records/9822895624da0-bddc-43d6-9696-c9d55a115d7f
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJCSS2013034.pdf (361.3 kB)
|
Copyright (c) 2013 by the Information Processing Society of Japan
|
|
| オープンアクセス | ||
| Item type | Symposium(1) | |||||||
|---|---|---|---|---|---|---|---|---|
| 公開日 | 2013-10-14 | |||||||
| タイトル | ||||||||
| タイトル | HTTP Proxyを使ったCookie挿入による不正通信の検出 | |||||||
| タイトル | ||||||||
| 言語 | en | |||||||
| タイトル | Detection of Suspicious HTTP Communication Based on Cookie Insertion by HTTP Proxy | |||||||
| 言語 | ||||||||
| 言語 | jpn | |||||||
| キーワード | ||||||||
| 主題Scheme | Other | |||||||
| 主題 | HTTP covert channel,RAT,malware detection,HTTP Cookie,Advanced Persistent Threat | |||||||
| 資源タイプ | ||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_5794 | |||||||
| 資源タイプ | conference paper | |||||||
| 著者所属 | ||||||||
| 株式会社インターネットイニシアティブ/筑波大学 | ||||||||
| 著者所属 | ||||||||
| 九州工業大学 | ||||||||
| 著者所属 | ||||||||
| 東邦大学 | ||||||||
| 著者所属 | ||||||||
| トレンドマイクロ株式会社 | ||||||||
| 著者所属 | ||||||||
| 株式会社カスペルスキー | ||||||||
| 著者所属 | ||||||||
| 筑波大学 | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Internet Initiative Japan Inc. / University of Tsukuba | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Kyushu Institute of Technology | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Toho University | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Trend Micro Inc. | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| University of Tsukuba | ||||||||
| 著者名 |
加藤, 雅彦
× 加藤, 雅彦
|
|||||||
| 著者名(英) |
Masahiko, Kato
× Masahiko, Kato
|
|||||||
| 論文抄録 | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | 近年,組織の機密情報窃取を目的とした標的型攻撃が増加している.攻撃者は標的型メール等を使い,組織内PCでRAT等のバックドアプログラムを動作させ,遠隔操作によって情報窃取を行う.遠隔操作はWeb 閲覧等に利用されているHTTP 通信を利用するため,正当な目的の通信との識別が困難である.そこで本論文では,組織内でHTTP 通信を中継するproxy でHTTPCookie を自動挿入し,クライアントの応答を確認することで,不正プログラムによるHTTP 通信か,通常のブラウザによる通信かを判別する方法を考案した.評価実験を行い,結果として,一部の独自実装された不正プログラムによるHTTP 通信が本方式により検出されることを確認した. | |||||||
| 論文抄録(英) | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | Recently, advanced persistent threats aiming at confidential information theft of an organization are increasing. An attacker operates RAT in infected PC and send information from the PC to the attacker using HTTP. Since HTTP is normally used and allowed by FW, it is difficult to detect such suspicious communication. In this paper, we develop a proxy server to insert HTTP Cookie automatically. Whether the communication is send by a browser or by RAT is examined by checking reactions of HTTP clients to inserted Cookies. As a result, we show that the proposed system can detect such suspicious communication. | |||||||
| 書誌情報 |
コンピュータセキュリティシンポジウム2013論文集 巻 2013, 号 4, p. 255-262, 発行日 2013-10-14 |
|||||||
| 出版者 | ||||||||
| 言語 | ja | |||||||
| 出版者 | 情報処理学会 | |||||||
