| Item type |
Symposium(1) |
| 公開日 |
2021-10-19 |
| タイトル |
|
|
タイトル |
悪性ホストの多拠点からの継続的な観測に基づく時系列および地域性の分析 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Analysis of Time Series and Regional Characteristics of Malicious Hosts Based on Continuous Observation from Multiple Regions |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
悪性ホスト,継続的観測,多拠点,クローキング,ジオフェンシング |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
| 著者所属 |
|
|
|
株式会社日立製作所/岡山大学大学院自然科学研究科 |
| 著者所属 |
|
|
|
株式会社日立製作所 |
| 著者所属 |
|
|
|
株式会社日立製作所 |
| 著者所属 |
|
|
|
国立研究開発法人 情報通信研究機構 |
| 著者所属 |
|
|
|
株式会社日立製作所 |
| 著者所属 |
|
|
|
株式会社日立製作所 |
| 著者所属 |
|
|
|
株式会社日立製作所 |
| 著者所属(英) |
|
|
|
en |
|
|
Hitachi Ltd. / Graduate School of Natural Science and Technology,Okayama University |
| 著者所属(英) |
|
|
|
en |
|
|
Hitachi Ltd. |
| 著者所属(英) |
|
|
|
en |
|
|
Hitachi Ltd. |
| 著者所属(英) |
|
|
|
en |
|
|
National Institute of Information and Communications Technology |
| 著者所属(英) |
|
|
|
en |
|
|
Hitachi Ltd. |
| 著者所属(英) |
|
|
|
en |
|
|
Hitachi Ltd. |
| 著者所属(英) |
|
|
|
en |
|
|
Hitachi Ltd. |
| 著者名 |
藤井, 翔太
佐藤, 隆行
青木, 翔
津田, 侑
川口, 信隆
重本, 倫宏
寺田, 真敏
|
| 著者名(英) |
Shota, Fujii
Takayuki, Sato
Sho, Aoki
Yu, Tsuda
Nobutaka, Kawaguchi
Tomohiro, Shigemoto
Masato, Terada
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
サイバー攻撃において,悪性ホストは C2 サーバをはじめとして,攻撃者にとって重要なインフラと化している.こうした状況においては,悪性ホストを観測し,その実態を明らかにすることで対策に活用することが望ましい.一方で攻撃者もアクセス元の地域に応じたクローキングや短期間の有効化等によって観測の回避を図るため,従前の単拠点・短期間の観測では実態を明らかにするのが困難である.そこで本稿では,悪性ホストを複数拠点から継続的に観測することにより,攻撃者による観測回避を困難にしつつ,悪性ホストの時系列での分析や地域性の分析を可能にするシステムを提案する.本稿では,システムを実装し,13 の拠点から 10,334 件の観測対象に対して,2019 年 11 月から 2021 年 8 月の間にかけて観測を実施することにより,25,148,094 件の観測結果を得た.評価では,複数拠点から継続的に観測を実施することにより,悪性ホストの観測可能性を向上できることを示した.また,観測結果を分析することにより,悪性ホストの時系列変化やクローキング状況の実態を明らかにした. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
In recent cyberattacks, malicious hosts, such as C2 servers, have become a critical infrastructure. Therefore, it is desirable to observe malicious hosts and clarify their whole picture for countermeasures. However, the attackers try to avoid the observation by cloaking according based on geolocation or by activating the host for a short period of time; thus, it is difficult to clarify the whole picture by the conventional single-site and short-term observation. In this paper, we propose a system that enables time-series analysis and regional analysis of malicious hosts by continuously observing malicious hosts from multiple regions, making it difficult for attackers to avoid observation. We conducted a study using thirteen sensors by observing 10,334 malicious hosts from Nov. 2019 to Aug. 2021 and obtained 25,148,094 measurements. The evaluation showed the malicious hosts' observability can be improved. We also report the time series of malicious hosts and the reality of the cloaking situation. |
| 書誌情報 |
コンピュータセキュリティシンポジウム2021論文集
p. 357-364,
発行日 2021-10-19
|
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJCSS2021049.pdf (912.3 kB)
