| Item type |
Journal(1) |
| 公開日 |
2017-02-15 |
| タイトル |
|
|
タイトル |
マルウェアによるネットワーク内の挙動を利用した標的型攻撃における感染経路検知ツールの開発と評価 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
A Development and Evaluation of an Infection Route Detecting Tool for Targeted Attacks Using Malware Behaviors in the Network |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
[特集:ネットワークサービスと分散処理] セキュリティ,標的型メール攻撃,ログ分析,RDF |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_6501 |
|
資源タイプ |
journal article |
| 著者所属 |
|
|
|
東京電機大学 |
| 著者所属 |
|
|
|
株式会社日立製作所 |
| 著者所属 |
|
|
|
株式会社日立製作所 |
| 著者所属 |
|
|
|
株式会社日立製作所 |
| 著者所属 |
|
|
|
東京電機大学 |
| 著者所属(英) |
|
|
|
en |
|
|
Tokyo Denki University |
| 著者所属(英) |
|
|
|
en |
|
|
Hitachi Ltd. |
| 著者所属(英) |
|
|
|
en |
|
|
Hitachi Ltd. |
| 著者所属(英) |
|
|
|
en |
|
|
Hitachi Ltd. |
| 著者所属(英) |
|
|
|
en |
|
|
Tokyo Denki University |
| 著者名 |
佐藤, 信
杉本, 暁彦
林, 直樹
磯部, 義明
佐々木, 良一
|
| 著者名(英) |
Makoto, Sato
Akihiko, Sugimoto
Naoki, Hayashi
Yoshiaki, Isobe
Ryoichi, Sasaki
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
標的型攻撃は攻撃対象のネットワーク内のすべての端末に影響を及ぼしうる.攻撃検知時には,その感染原因の調査を迅速に行わないと感染が拡大していく恐れがある.そのためには,一端末内の挙動解析だけでなく各端末の挙動を組み合わせて解析する必要がある.その際には内部侵入・調査段階における攻撃挙動が重要だが,これに着目した研究は少ない.そこで,本論文では標的型攻撃の内部侵入・調査段階の攻撃挙動に焦点をあて,プロセスレベルで感染経路を検知する手法を提案する.これにより従来のような不審ファイルの移動の検知だけでは明らかにならなかったマルウェアの挙動も含めた追跡が可能となると考えられる.そのために,内部侵入・調査段階で用いられるツールのプロセスと通信試行をプロセスログ記録ツールOnmitsuで解析し,その特徴を調査する.また,各端末の挙動を組み合わせて解析するために,ログと端末間の関係をオントロジで表現し統合化した.実験により,5次感染までの感染経路がプロセスレベルで追跡でき,オントロジを用いることで従来の場合と比べ検知時間が約1/24となることを確認した. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
A targeted attack affects all terminals in an attacked network. When the attack was detected, it is necessarily to quickly investigate the cause of infection because the infection is likely to expand. Therefore, it is necessary to analyze the event information for each terminal in the network as well as all event information within the terminal. Moreover, it is important that observables of the attack in the penetration/exploration phase of targeted attacks, but few studies have focused on the observables. In the present paper, we propose a method for detecting the route of infection at the process level that focus on the observables. Thereby, we expected that it is possible to tracing of the infection route considering observables of a malware that did not reveal just conventional detection method of suspicious file transfer. Then, we investigate the characteristic of the attack tools used in the penetration/exploration phase by analyzing the process and a communication attempt associated with the process using the Onmitsu of the process logging tool. We integrate logs and relationships between terminals with ontology to analyze the event information for each terminal. We confirmed the ability to detect the infection route at the process level in five primary infection, and the detection time is about 1/24 compared to the conventional method. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AN00116647 |
| 書誌情報 |
情報処理学会論文誌
巻 58,
号 2,
p. 366-374,
発行日 2017-02-15
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
1882-7764 |
IPSJ-JNL5802012.pdf (2.1 MB)
