@techreport{oai:ipsj.ixsq.nii.ac.jp:02007395,
 author = {鹿内,嵩天 and 角田,裕},
 issue = {18},
 month = {Feb},
 note = {ダークネットで観測されるトラフィックは，サイバー攻撃の分析における重要な情報源である．近年，セキュリティ機関等による調査目的スキャンが増加傾向にあり，これらが分析の障害となる問題がある．そこで，スキャンを除去するため，調査目的スキャナを特定する判定指標が提案されている．しかし，既存手法は主に活動量が大規模な送信元を対象としており，小規模なスキャナが見過ごされるという課題があった．本研究では，各送信元の振る舞いに着目した新たな判定手法を提案する．具体的には，スキャン対象ポート数などの従来の量的指標に加え，質的指標である「どのポートへのスキャンか」という情報を用いる．これにより，既存手法では捉えられなかった，活動量が小規模でも調査目的スキャナの振る舞いをする送信元の判定が可能となった, Darknet traffic is a vital source of information for analyzing cyber attacks. However, the recent increase in Internet research scanners employed by security organizations has become a significant obstacle to effective analysis. While existing metrics have been proposed to identify and filter out these scanners, they primarily focus on large-scale sources, leaving small-scale scanners undetected. To address this issue, we propose a novel identification method that focuses on the behavioral patterns of each source. Specifically, in addition to conventional quantitative features such as the number of targeted ports, we incorporate qualitative features―specifically, the selection of targeted ports. This approach enables the identification of small-scale sources that exhibit access patterns characteristic of Internet Research Scanners, which existing methods fail to capture.},
 title = {振る舞いに着目したダークネット上の調査目的スキャナの判定手法の提案},
 year = {2026}
}