| Item type |
Symposium(1) |
| 公開日 |
2014-10-15 |
| タイトル |
|
|
タイトル |
通信プロトコルのヘッダの特徴に基づく不正通信の検知・分類手法 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Detection and Classification Method for Malicious Packets with Characteristic Network Protocol Header |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
TCP/IPヘッダ,ネットワークスタック,ダークネット,マルウェア動的解析 |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
| 著者所属 |
|
|
|
横浜国立大学 |
| 著者所属 |
|
|
|
横浜国立大学 |
| 著者所属 |
|
|
|
横浜国立大学/情報通信研究機構 |
| 著者所属 |
|
|
|
KDDI株式会社 |
| 著者所属 |
|
|
|
情報通信研究機構 |
| 著者所属 |
|
|
|
株式会社クルウィット |
| 著者所属 |
|
|
|
情報通信研究機構 |
| 著者所属 |
|
|
|
情報通信研究機構 |
| 著者所属 |
|
|
|
横浜国立大学/情報通信研究機構 |
| 著者所属 |
|
|
|
横浜国立大学 |
| 著者所属(英) |
|
|
|
en |
|
|
Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
Yokohama National University / National Institute of Information and Communications Technology |
| 著者所属(英) |
|
|
|
en |
|
|
KDDI Corporation |
| 著者所属(英) |
|
|
|
en |
|
|
National Institute of Information and Communications Technology |
| 著者所属(英) |
|
|
|
en |
|
|
clwit Inc. |
| 著者所属(英) |
|
|
|
en |
|
|
National Institute of Information and Communications Technology |
| 著者所属(英) |
|
|
|
en |
|
|
National Institute of Information and Communications Technology |
| 著者所属(英) |
|
|
|
en |
|
|
Yokohama National University / National Institute of Information and Communications Technology |
| 著者所属(英) |
|
|
|
en |
|
|
Yokohama National University |
| 著者名 |
小出, 駿
鈴木, 将吾
牧田, 大佑
村上, 洸介
笠間, 貴弘
島村, 隼平
衛藤, 将史
井上, 大介
吉岡, 克成
松本, 勉
|
| 著者名(英) |
Takashi, Koide
Shogo, Suzuki
Daisuke, Makita
Kosuke, Murakami
Takahiro, Kasama
Jumpei, Shimamura
Masashi, Eto
Daisuke, Inoue
Katsunari, Yoshioka
Tsutomu, Matsumoto
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
OSの機能を使わずに独自のネットワークスタックを用いた通信を行うマルウェアやツールはTCP/IPヘッダやアプリケーションプロトコルヘッダに固有の特徴を持つ場合がある.本稿では,TCP初期シーケンス番号,IPヘッダのID値,DNSヘッダのIDなどに固有値が設定されている通信パケットを抽出することで,ネットワーク上で観測される通信を分類する手法を提案する.ダークネット・ハニーポット観測とマルウェア動的解析によって得られた通信の分析に提案手法を適用することで,マルウェアやツールによる不正な通信の特定が可能であることを確認し,新規のマルウェア発見にも応用できることを示す. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Since some malware and network tools have their own implementation of network stack, the packets from them may have characteristic TCP/IP headers and application protocol headers. In this paper, we propose a technique for packet classification by generating signatures using initial sequence number in the TCP header, identification in the IP header, ID in the DNS header and so on. By analyzing darknet traffic, honeypot traffic, and packets from malware sandbox analysis with this method, we show that it is possible to identify packets from these software and possibly detect new malware. |
| 書誌情報 |
コンピュータセキュリティシンポジウム2014論文集
巻 2014,
号 2,
p. 48-55,
発行日 2014-10-15
|
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJCSS2014007.pdf (629.9 kB)
