| Item type |
SIG Technical Reports(1) |
| 公開日 |
2021-03-08 |
| タイトル |
|
|
タイトル |
ユーザ操作特定のためのカーネル内でのプロセス挙動収集手法 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Method for collecting process behavior in the Kernel to identify User Operations |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
情報収集・分析 |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
| 著者所属 |
|
|
|
立命館大学 |
| 著者所属 |
|
|
|
日本電気株式会社 |
| 著者所属 |
|
|
|
日本電気株式会社 |
| 著者所属 |
|
|
|
国立研究開発法人情報通信研究機構 |
| 著者所属 |
|
|
|
立命館大学 |
| 著者所属 |
|
|
|
立命館大学 |
| 著者所属(英) |
|
|
|
en |
|
|
Ritsumeikan University |
| 著者所属(英) |
|
|
|
en |
|
|
NEC Corporation |
| 著者所属(英) |
|
|
|
en |
|
|
NEC Corporation |
| 著者所属(英) |
|
|
|
en |
|
|
National Institute of Information and Communications Technology |
| 著者所属(英) |
|
|
|
en |
|
|
Ritsumeikan University |
| 著者所属(英) |
|
|
|
en |
|
|
Ritsumeikan University |
| 著者名 |
藤枝, 慶弘
羽角, 太地
島, 成佳
安田, 真悟
鄭, 俊俊
毛利, 公一
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
標的型攻撃で侵入してくる攻撃者の継続的な観測を行うための環境を構築するためには,侵入先の計算機がユーザによって普段から利用されていることを模擬する必要がある.このような観測環境を効率的に構築するために,実際のユーザによる操作列に関する情報を記録し,それを元に再現することを検討している.本論文では,ユーザのアプリケーション操作を再現するために必要な情報を取得することを目的として,具体的には Windows におけるカーネルモードでプロセス挙動を取得するソフトウェアを設計・実装・評価したので報告する.ユーザがローカルシステム上でログオンした際に生成されるセッション情報,資格情報,アプリケーションの実行やファイルの操作などのイベントなど,プロセスやスレッドの情報をカーネルモードで収集する.これにより,取得した情報から継続的なユーザの操作を特定できることを確認した. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
In order to construct an environment for continuous observation of an attacker in a targeted attack, it is necessary to simulate the usual use of the target computer by users. In order to construct such an observation environment efficiently, we are considering recording information about the sequence of operations by actual users and reproducing them based on the recorded information. In this paper, we report on the design, implementation, and evaluation of a software program that obtains information necessary to reproduce the user's application operations, specifically, the process behavior in kernel mode in Windows. The software collects process and thread information in kernel mode, such as session information generated when a user logs on to the local system, token information, and events such as application execution and file operations. We have confirmed that we can identify continuous user operations from the acquired information. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AN10116224 |
| 書誌情報 |
研究報告マルチメディア通信と分散処理(DPS)
巻 2021-DPS-186,
号 48,
p. 1-8,
発行日 2021-03-08
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8906 |
| Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-DPS21186048.pdf (1.1 MB)
