| Item type |
Symposium(1) |
| 公開日 |
2020-06-17 |
| タイトル |
|
|
タイトル |
インシデント対応時のファイル証跡収集を強化するネットワークフォレンジック方式の改良 |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
サイバーセキュリティ |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
| 著者所属 |
|
|
|
株式会社富士通研究所 |
| 著者所属 |
|
|
|
株式会社富士通研究所 |
| 著者所属 |
|
|
|
株式会社富士通研究所 |
| 著者所属 |
|
|
|
国立研究開発法人情報通信研究機構/株式会社富士通研究所 |
| 著者所属 |
|
|
|
国立研究開発法人情報通信研究機構 |
| 著者所属 |
|
|
|
国立研究開発法人情報通信研究機構 |
| 著者所属 |
|
|
|
国立研究開発法人情報通信研究機構 |
| 著者所属 |
|
|
|
株式会社富士通研究所 |
| 著者名 |
乾, 真季
海野, 由紀
及川, 孝徳
金谷, 延幸
津田, 侑
遠峰, 隆史
井上, 大介
鳥居, 悟
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
標的型攻撃をはじめとするサイバー攻撃において攻撃者は標的の組織に侵入した後,マルウェアを送り込み,リモート管理操作を実行することにより攻撃拡大を行う.攻撃による被害を最小限に抑えるには,攻撃者が悪用したファイルを特定し,調査することにより,攻撃の全容を明らかにすることが重要である.著者らは 2019 年に通信データを解析し,攻撃者が実行したリモート管理操作とリモートファイル書き込みをひも付けることにより,攻撃の進行度に応じた攻撃関連ファイルのリアルタイムでの収集を実現するネットワークフォレンジック方式を提案した.本稿では,攻撃関連ファイル収集精度を向上させるための,リモート管理操作とリモート書き込みされたファイルのひも付けの改良手法を提案する.本改良手法は,これまで照合が困難であった Distributed Computing Environment / Remote Procedure Calls (DCE/RPC) プロトコルに対応するものであり,これにより,悪用されやすい更新系リモート管理操作にもファイル証跡の特定範囲を拡げるものである.提案した改良手法を実装したプログラムを用いて MWS Datasets 2019 の攻撃観測データや MicrosoftのAdvanced Threat Analytics Attack Simulation Playbook のシナリオを再現した模擬攻撃データを解析し,ファイル収集精度が向上したことを示した. |
| 書誌情報 |
マルチメディア,分散協調とモバイルシンポジウム2211論文集
巻 2020,
p. 1341-1350,
発行日 2020-06-17
|
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-DICOMO2020192.pdf (1.3 MB)
