@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00106530,
 author = {小出, 駿 and 鈴木, 将吾 and 牧田, 大佑 and 村上, 洸介 and 笠間, 貴弘 and 島村, 隼平 and 衛藤, 将史 and 井上, 大介 and 吉岡, 克成 and 松本, 勉 and Takashi, Koide and Shogo, Suzuki and Daisuke, Makita and Kosuke, Murakami and Takahiro, Kasama and Jumpei, Shimamura and Masashi, Eto and Daisuke, Inoue and Katsunari, Yoshioka and Tsutomu, Matsumoto},
 book = {コンピュータセキュリティシンポジウム2014論文集},
 issue = {2},
 month = {Oct},
 note = {OSの機能を使わずに独自のネットワークスタックを用いた通信を行うマルウェアやツールはTCP/IPヘッダやアプリケーションプロトコルヘッダに固有の特徴を持つ場合がある．本稿では，TCP初期シーケンス番号，IPヘッダのID値，DNSヘッダのIDなどに固有値が設定されている通信パケットを抽出することで，ネットワーク上で観測される通信を分類する手法を提案する．ダークネット・ハニーポット観測とマルウェア動的解析によって得られた通信の分析に提案手法を適用することで，マルウェアやツールによる不正な通信の特定が可能であることを確認し，新規のマルウェア発見にも応用できることを示す．, Since some malware and network tools have their own implementation of network stack, the packets from them may have characteristic TCP/IP headers and application protocol headers. In this paper, we propose a technique for packet classification by generating signatures using initial sequence number in the TCP header, identification in the IP header, ID in the DNS header and so on. By analyzing darknet traffic, honeypot traffic, and packets from malware sandbox analysis with this method, we show that it is possible to identify packets from these software and possibly detect new malware.},
 pages = {48--55},
 publisher = {情報処理学会},
 title = {通信プロトコルのヘッダの特徴に基づく不正通信の検知・分類手法},
 volume = {2014},
 year = {2014}
}