@techreport{oai:ipsj.ixsq.nii.ac.jp:00176062,
 author = {宇野, 真純 and 石井, 将大 and 猪俣, 敦夫 and 新井, イスマイル and 藤川, 和利 and Masumi, Uno and Masahiro, Ishii and Atsuo, Inomata and Ismail, Arai and Kazutoshi, Fujikawa},
 issue = {6},
 month = {Nov},
 note = {Remote Access Trojan / Tool (RAT) とは標的型攻撃の初期侵入段階においてまず用いられる遠隔操作を可能にするツールである．標的型攻撃の検知においては，情報探索から端末制御段階までに RAT の通信を検知することが有用とされている．先行研究 [1] では，抽出された特徴が短期間の通信パケットであることから正常なアプリケーションとの区別が困難であることや，特定の通信プロトコルを使うことのみ想定した場合など環境に依存することがあるため，検知の条件を回避するための偽装が容易であること等の問題が存在する．本研究では，ある特定の通信プロトコルを用いるなどの制約された環境に依存せず，初期の侵入段階における RAT 通信の検知を目的とする．具体的には，先行研究で用いられた In / Out bound 通信のパケット数やバイト数などの複数の特徴に加え，通信パケットから新たにエントロピーを計算して特徴とした検知手法を提案する．エントロピーを用いることにより，限定された環境に依存しないなどの理由から限定した条件の回避による偽装が困難となる．さらに，本研究では RAT が確立した C & C サーバとの通信トラフィックのパケットの特徴より，攻撃者が行動を開始するまでの間の RAT 通信のエントロピーは小さくなると仮定し，検知においてエントロピーが示す情報が有用であることを示す．, Confidential information leaked accidentally by targetted attacks causes a serious social issue. In targeted attacks, Remote Access Trojan / tool (RAT) is mainly used. It is important to detect the RAT activity on intrusion stage to minimize damage by the attack. The detection of the RAT is getting more and more difficult with technological advance. Previous studies can not detect RAT which uses various kinds of protocols and they cannot detect advanced RAT. In this study, we aim to detect an early intrusion stage of RAT communication. This study uses packet entropy of the communication.},
 title = {エントロピーを用いた初期侵入段階におけるRATの通信検知手法の考察},
 year = {2016}
}