| Item type |
Journal(1) |
| 公開日 |
2016-03-15 |
| タイトル |
|
|
タイトル |
不審活動の端末間伝搬に着目した標的型攻撃検知方式 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Detection of Advanced Persistent Threat Based on Cascade of Suspicious Activities over Multiple Internal Hosts |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
[特集:クラウド時代のインターネットと運用技術(特選論文)] 標的型攻撃,侵入検知,マルウェア |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_6501 |
|
資源タイプ |
journal article |
| 著者所属 |
|
|
|
株式会社日立製作所 |
| 著者所属 |
|
|
|
株式会社日立アドバンストシステムズ |
| 著者所属 |
|
|
|
株式会社日立製作所 |
| 著者所属 |
|
|
|
株式会社日立製作所 |
| 著者所属 |
|
|
|
株式会社日立製作所 |
| 著者所属(英) |
|
|
|
en |
|
|
Hitachi Ltd. |
| 著者所属(英) |
|
|
|
en |
|
|
Hitachi Advanced Systems Corporation |
| 著者所属(英) |
|
|
|
en |
|
|
Hitachi Ltd. |
| 著者所属(英) |
|
|
|
en |
|
|
Hitachi Ltd. |
| 著者所属(英) |
|
|
|
en |
|
|
Hitachi Ltd. |
| 著者名 |
川口, 信隆
築地原, 護
井手口, 恒太
谷川, 嘉伸
冨村, 英勤
|
| 著者名(英) |
Nobutaka, Kawaguchi
Mamoru, Tsuichihara
Kota, Ideguchi
Yoshinobu, Tanigawa
Hideyuki, Tomimura
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
標的型攻撃は,情報窃取や資産破壊を目的に企業や国家機関などの特定組織のネットワークを執拗に狙う攻撃の総称である.近年の標的型攻撃の高度化にともない個々の端末やプロセスを分析する手法では攻撃の検知が難しくなりつつある.そこで,我々は攻撃に用いられる個々の要素を深く分析するのではなく,多くの標的型攻撃で発生する活動である拡散活動に着目する.拡散活動は,攻撃者が最終目的となる資産にたどり着くために複数の端末を渡り歩く活動である.我々は,複数端末で行われる様々な種類の不審活動を分析し,攻撃者の拡散経路をグラフ構造として抽出することで拡散活動を検知する方式を考案した.そして,ある組織の同一部署に属する30台の端末の2カ月間にわたる活動ログを用いて方式の評価実験を行った.その結果,提案方式は標的型攻撃を模擬した攻撃シナリオに対して検知率97%を達成するとともに,既存方式と比べて誤検知頻度を10分の1まで削減できることが明らかになった.加えて,提案方式はプロセスやファイルシステムにいっさい痕跡を残さない高度な攻撃に対しても70%以上の検知率を実現することを確認した. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
As Advanced Persistent Threats, which persistently target specific organization networks with the aim of stealing their information, destroying their assets, or disrupting their operations, have been more prevalent and sophisticated than ever before, it becomes further difficult to detect the attacks by solely analyzing each process or host. Instead of deeply analyzing each element that may be a part of an attack, we focus on an activity called lateral movement in which the attackers move from one host to another, looking for assets they want to access and manipulate. We designed and developed a scheme which detects the lateral movement by analyzing various types of suspicious activities over multiple hosts and extracting how an attacker moves in the network as a graph structure. Through evaluation experiments with activity logs from 30 hosts in the same organization's department network for two months and three types of attack scenarios, we found that the proposed scheme detects simulated targeted attacks at a rate of higher than 97%, while suppressing the false positives to about 10% of an existing work. In addition, we confirmed that the proposed scheme can detect sophisticated attacks, which do not leave any taints in processes and file systems and can evade the exiting work, at a rate of higher than 70%. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AN00116647 |
| 書誌情報 |
情報処理学会論文誌
巻 57,
号 3,
p. 1022-1039,
発行日 2016-03-15
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
1882-7764 |
IPSJ-JNL5703034.pdf (3.5 MB)
