2026-04-20T02:46:52Z https://ipsj.ixsq.nii.ac.jp/oai

oai:ipsj.ixsq.nii.ac.jp:00106530 2025-01-21T09:21:04Z 6164:6165:6462:7729

通信プロトコルのヘッダの特徴に基づく不正通信の検知・分類手法 Detection and Classification Method for Malicious Packets with Characteristic Network Protocol Header 小出, 駿 鈴木, 将吾 牧田, 大佑 村上, 洸介 笠間, 貴弘 島村, 隼平 衛藤, 将史 井上, 大介 吉岡, 克成 松本, 勉 Takashi, Koide Shogo, Suzuki Daisuke, Makita Kosuke, Murakami Takahiro, Kasama Jumpei, Shimamura Masashi, Eto Daisuke, Inoue Katsunari, Yoshioka Tsutomu, Matsumoto TCP/IPヘッダ，ネットワークスタック，ダークネット，マルウェア動的解析 OSの機能を使わずに独自のネットワークスタックを用いた通信を行うマルウェアやツールはTCP/IPヘッダやアプリケーションプロトコルヘッダに固有の特徴を持つ場合がある．本稿では，TCP初期シーケンス番号，IPヘッダのID値，DNSヘッダのIDなどに固有値が設定されている通信パケットを抽出することで，ネットワーク上で観測される通信を分類する手法を提案する．ダークネット・ハニーポット観測とマルウェア動的解析によって得られた通信の分析に提案手法を適用することで，マルウェアやツールによる不正な通信の特定が可能であることを確認し，新規のマルウェア発見にも応用できることを示す． Since some malware and network tools have their own implementation of network stack, the packets from them may have characteristic TCP/IP headers and application protocol headers. In this paper, we propose a technique for packet classification by generating signatures using initial sequence number in the TCP header, identification in the IP header, ID in the DNS header and so on. By analyzing darknet traffic, honeypot traffic, and packets from malware sandbox analysis with this method, we show that it is possible to identify packets from these software and possibly detect new malware. 情報処理学会 2014-10-15 jpn conference paper https://ipsj.ixsq.nii.ac.jp/records/106530 コンピュータセキュリティシンポジウム2014論文集 2014 2 48 55 https://ipsj.ixsq.nii.ac.jp/record/106530/files/IPSJCSS2014007.pdf application/pdf 629.9 kB 2016-10-15