| Item type |
SIG Technical Reports(1) |
| 公開日 |
2018-02-28 |
| タイトル |
|
|
タイトル |
局所的および大域的グラフ構造の特徴を併用したLAN内ステルススキャンの検知 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Combining Local and Global Graph-based Features for Stealth Scan Detection on LAN |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
Network Security |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
| 著者所属 |
|
|
|
NTTセキュアプラットフォーム研究所 |
| 著者所属 |
|
|
|
NTTセキュアプラットフォーム研究所 |
| 著者所属 |
|
|
|
NTTセキュアプラットフォーム研究所 |
| 著者所属 |
|
|
|
NTTセキュアプラットフォーム研究所 |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Secure Platform Laboratories |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Secure Platform Laboratories |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Secure Platform Laboratories |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Secure Platform Laboratories |
| 著者名 |
長山, 弘樹
胡, 博
神谷, 和憲
谷川, 真樹
|
| 著者名(英) |
Hiroki, Nagayama
Bo, Hu
Kazunori, Kamiya
Masaki, Tanikawa
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
近年,未知マルウェアの増加は著しく,マルウェアの侵入を 100% 防止することは難しいため,マルウェア感染の発生を前提として,LAN 内での侵入拡大の起点となるスキャンを早期に検知する技術が重要となる.マルウェアによるスキャンは,迅速な感染拡大のため高速に実施されるという仮定が置かれることが多く,スキャン検知の既存研究では通信量や通信先数の増加を特徴とした検知技術が提案されてきた.一方,検知を回避するために低レートで実施されるステルススキャンの手法も複数提唱されており,これらステルススキヤンは通信量や通信先数を特徴とした検知手法では検知が困難である.そこで本研究では LAN 内ステルススキャンを検知するため,正常な通信接続関係から外れたスキャンを通信量に依らず検知する手法を提案する.具体的には,取得が容易でかつ軽量な情報であるARP通信を用いてホスト間の通信接続関係をグラフとして表し,グラフの局所的および大局的な構造に着目した特徴量を併用するとともに,局所的グラフ特徴量として通信の向きを考慮した隣接ノードの次数中心性を新たに導入し,正常時とスキャン発生時の通信接続関係を学習させることで,ステルススキャンを検知する手法を提案する.提案方式の評価のため通信先数を特徴とした検知手法との検知精度比較を行い,提案方式では False Positive Rate が 0.5% の際の True Positive Rate が 26.2% 向上することを確認した. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
In recent years, the increase of unknown malware is remarkable and it is difficult to prevent malwaxe infiltration by 100%. Therefore, considering the occurrence of malware infection as the premise, it is important to create a technology to detect invasive activity such as scan by malware on LAN. Often the assumption is made that scanning activities are carried out fast, and in the existing research on scan detection, a detection technique using feature of an increase in traffic volume has been proposed. Meanwhile, a stealth scan technique implemented at a low rate to avoid detection has also been proposed and these stealth scans are difficult to detect by the conventional detection method. Therefore, we propose a method to detect stealth scans out of the normal communication connection relation regardless of traffic volume. Specifically, the communication connection relationship between the hosts is expressed as a graph by using ARP communication which is easy to obtain and is lightweight, and we combining feature focusing on the local and global structure of the graph, and also newly design the degree centrality of the neighbor nodes considering the direction of communication as the local graph feature. In the proposed method, stealth scan is detected by learning the communication connection relationship at the time of normal and time of occurrence of scans expressed by these feature. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AA12628305 |
| 書誌情報 |
研究報告セキュリティ心理学とトラスト(SPT)
巻 2018-SPT-27,
号 2,
p. 1-6,
発行日 2018-02-28
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8671 |
| Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-SPT18027002.pdf (1.5 MB)
