@article{oai:ipsj.ixsq.nii.ac.jp:00177497,
 author = {佐藤, 信 and 杉本, 暁彦 and 林, 直樹 and 磯部, 義明 and 佐々木, 良一 and Makoto, Sato and Akihiko, Sugimoto and Naoki, Hayashi and Yoshiaki, Isobe and Ryoichi, Sasaki},
 issue = {2},
 journal = {情報処理学会論文誌},
 month = {Feb},
 note = {標的型攻撃は攻撃対象のネットワーク内のすべての端末に影響を及ぼしうる．攻撃検知時には，その感染原因の調査を迅速に行わないと感染が拡大していく恐れがある．そのためには，一端末内の挙動解析だけでなく各端末の挙動を組み合わせて解析する必要がある．その際には内部侵入・調査段階における攻撃挙動が重要だが，これに着目した研究は少ない．そこで，本論文では標的型攻撃の内部侵入・調査段階の攻撃挙動に焦点をあて，プロセスレベルで感染経路を検知する手法を提案する．これにより従来のような不審ファイルの移動の検知だけでは明らかにならなかったマルウェアの挙動も含めた追跡が可能となると考えられる．そのために，内部侵入・調査段階で用いられるツールのプロセスと通信試行をプロセスログ記録ツールOnmitsuで解析し，その特徴を調査する．また，各端末の挙動を組み合わせて解析するために，ログと端末間の関係をオントロジで表現し統合化した．実験により，5次感染までの感染経路がプロセスレベルで追跡でき，オントロジを用いることで従来の場合と比べ検知時間が約1/24となることを確認した．, A targeted attack affects all terminals in an attacked network. When the attack was detected, it is necessarily to quickly investigate the cause of infection because the infection is likely to expand. Therefore, it is necessary to analyze the event information for each terminal in the network as well as all event information within the terminal. Moreover, it is important that observables of the attack in the penetration/exploration phase of targeted attacks, but few studies have focused on the observables. In the present paper, we propose a method for detecting the route of infection at the process level that focus on the observables. Thereby, we expected that it is possible to tracing of the infection route considering observables of a malware that did not reveal just conventional detection method of suspicious file transfer. Then, we investigate the characteristic of the attack tools used in the penetration/exploration phase by analyzing the process and a communication attempt associated with the process using the Onmitsu of the process logging tool. We integrate logs and relationships between terminals with ontology to analyze the event information for each terminal. We confirmed the ability to detect the infection route at the process level in five primary infection, and the detection time is about 1/24 compared to the conventional method.},
 pages = {366--374},
 title = {マルウェアによるネットワーク内の挙動を利用した標的型攻撃における感染経路検知ツールの開発と評価},
 volume = {58},
 year = {2017}
}