ログイン 新規登録
言語:

WEKO3
  • トップ
  • ランキング
To
lat lon distance
To

Field does not validate



インデックスリンク

インデックスツリー

メールアドレスを入力してください。

WEKO

One fine body…

WEKO

One fine body…

アイテム

  1. シンポジウム
  2. シンポジウムシリーズ
  3. コンピュータセキュリティシンポジウム
  4. 2021

イベントログとネットワークパケットの時系列情報を組み合わせたIDSの構築

https://ipsj.ixsq.nii.ac.jp/records/214476
https://ipsj.ixsq.nii.ac.jp/records/214476
ab637505-a968-4871-b405-bed3959d9b4e
名前 / ファイル ライセンス アクション
IPSJCSS2021076.pdf IPSJCSS2021076.pdf (4.9 MB)
Copyright (c) 2021 by the Information Processing Society of Japan
オープンアクセス
Item type Symposium(1)
公開日 2021-10-19
タイトル
タイトル イベントログとネットワークパケットの時系列情報を組み合わせたIDSの構築
タイトル
言語 en
タイトル Intrusion Detection System Focused on Time Series Information of Event Logs and Network Packets
言語
言語 jpn
キーワード
主題Scheme Other
主題 イベントログ,標的型攻撃,LSTM,Doc2Vec,MWS Dataset
資源タイプ
資源タイプ識別子 http://purl.org/coar/resource_type/c_5794
資源タイプ conference paper
著者所属
大阪府立大学大学院人間社会システム科学研究科
著者所属
大阪府立大学大学院人間社会システム科学研究科
著者所属
大阪府立大学大学院人間社会システム科学研究科
著者所属(英)
en
Graduate School of Humanities and Sustainable System Sciences, Osaka Prefecture University
著者所属(英)
en
Graduate School of Humanities and Sustainable System Sciences, Osaka Prefecture University
著者所属(英)
en
Graduate School of Humanities and Sustainable System Sciences, Osaka Prefecture University
著者名 中久木, 達哉

× 中久木, 達哉

中久木, 達哉
Search repository
青木, 茂樹

× 青木, 茂樹

青木, 茂樹
Search repository
宮本, 貴朗

× 宮本, 貴朗

宮本, 貴朗
Search repository
著者名(英) Tatsuya, Nakakuki

× Tatsuya, Nakakuki

en Tatsuya, Nakakuki
Search repository
Shigeki, Aoki

× Shigeki, Aoki

en Shigeki, Aoki
Search repository
Takao, Miyamoto

× Takao, Miyamoto

en Takao, Miyamoto
Search repository
論文抄録
内容記述タイプ Other
内容記述 近年頻繁に観測される標的型攻撃は,組織内ネットワークに侵入するために入念な調査を行い,侵入可能な方法を探し出し,通常の通信に紛れて侵入する.そのため,マルウェアの侵入を検知することが困難であり,マルウェア感染後の活動を検知する手法の重要性が高まっている.標的型攻撃のマルウェアに感染すると,ホスト上で C2 サーバと通信するためのプロセスが定期的に実行される.そのため,プロセス名の時系列情報に特徴が表れると考えられる.また感染後の端末は,C2 サーバと定期的に同じ内容の通信を行うため,定期的にサイズ等が一定のパケットが観測されると考えられる.そこで本研究では,プロセス名だけでなく,パケットの時系列情報にも着目することで高精度に標的型攻撃を検出する手法を提案する.まず,イベントログからホスト毎に実行されるプロセスのプロセス名等を抽出し,更にネットワーク上のパケットのヘッダからパケットサイズ等の特徴を抽出し,Doc2Vec でベクトル表現する.その後,抽出したベクトルを LSTM で学習することで不審な通信を検知する.MWS データセットを対象に実験を実施し提案手法の有効性を確認した.
論文抄録(英)
内容記述タイプ Other
内容記述 APT (Advanced Persistent Threats) have been observed frequently, attackers find ways to penetrate a network. They infiltrate the organization network through normal communication. Thus, methods for detecting activities after malware infection are becoming important. Since on the infected host with malware, a process for communicating with the C2 server is periodically executed, we focus on the time-series information of process names. In addition, because the infected host periodically communicates with the C2 server in fixed formats, it is expected that the packet size will be observed periodically. In this paper, we propose a method to detect APT by focusing on the time-series information of process names and these packets. First, we extract the process name from the event log, and packet size and other characteristic from the packet headers. We express them as vectors using Doc2Vec. Then, the vectors are trained by LSTM to detect APT.
書誌情報 コンピュータセキュリティシンポジウム2021論文集

p. 559-566, 発行日 2021-10-19
出版者
言語 ja
出版者 情報処理学会
戻る
0
views
See details
Views

Versions

Ver.1 2025-01-19 16:36:53.342407
Show All versions

Share

Mendeley Twitter Facebook Print Addthis

Cite as

エクスポート

OAI-PMH
  • OAI-PMH JPCOAR
  • OAI-PMH DublinCore
  • OAI-PMH DDI
Other Formats
  • JSON
  • BIBTEX

Confirm

Powered by WEKO3

Powered by WEKO3