| Item type |
SIG Technical Reports(1) |
| 公開日 |
2022-02-28 |
| タイトル |
|
|
タイトル |
IoTマルウェアの動的解析におけるC&C通信の機械学習を用いた検出 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
ML-based Detection of C&C Communications for Sandbox Analysis of IoT Malware |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
ICSS |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
| 著者所属 |
|
|
|
横浜国立大学 |
| 著者所属 |
|
|
|
横浜国立大学 |
| 著者所属 |
|
|
|
横浜国立大学先端科学高等研究院 |
| 著者所属 |
|
|
|
横浜国立大学大学院環境情報研究院/先端科学高等研究院 |
| 著者所属 |
|
|
|
横浜国立大学大学院環境情報研究院/先端科学高等研究院 |
| 著者所属(英) |
|
|
|
en |
|
|
Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
Institute of Advanced Sciences, Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Environment and Information Sciences, Yokohama National University / Institute of Advanced Sciences, Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Environment and Information Sciences, Yokohama National University / Institute of Advanced Sciences, Yokohama National University |
| 著者名 |
遠藤, 祐輝
鮫嶋, 海地
田辺, 瑠偉
吉岡, 克成
松本, 勉
|
| 著者名(英) |
Yuki, Endo
Kaichi, Sameshima
Rui, Tanabe
Katsunari, Yoshioka
Tsutomu, Matsumoto
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
マルウェアの挙動やそれを操作する攻撃者の動向を分析するため,動的解析が広く行われている.動的解析により観測されるマルウェアの通信の中でも,C&C サーバとの通信は攻撃者の動向や振る舞いを知る上で重要である.本研究では,マルウェアにとって C&C サーバとの通信の重要性が高いことから,複数回独立に実行した場合に毎回の実行において C&C サーバとの通信を試みる可能性が高く,また,C&C サーバとの接続が確立できない場合には繰り返し接続を試みる可能性が高いことに着目し,マルウェア動的解析で観測される通信の中から C&C サーバとの通信を識別する方法を提案する.具体的には,ネットワーク環境の異なる実行環境を用いて複数回の動的解析を行い,前述の着目点から導出した通信の特徴を用いて機械学習により C&C サーバの特定を行う手法を提案する.ハニーポットで収集したマルウェア検体 363 体を用いた評価実験の結果,適合率 100%, 再現率 98.6% で C&C サーバの IP アドレスを正しく判定することができた. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
In order to analyze the behavior of malware, dynamic analysis has been widely utilized. Among various communication of malware, those with C&C servers are important for understanding the trends and behavior of attackers. In this study, we propose a method to identify C&C servers from communication observed by dynamic analysis of IoT malware. Our key observation is that connecting C&C server is so essential for malware that it would try to connect to the servers for every execution and would keep its attempt if the connection is not established. We propose an ML-based method to identify the C&C server from the communication of malware observed by multiple dynamic analyses using different network environments to highlight its tenacity for the C&C server. In the experiment with 363 malware samples captured by IoT honeypot, C&C servers were identified with the precision of 100% and the recall of 98.6%. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AA12628305 |
| 書誌情報 |
研究報告セキュリティ心理学とトラスト(SPT)
巻 2022-SPT-46,
号 27,
p. 1-6,
発行日 2022-02-28
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8671 |
| Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-SPT22046027.pdf (2.0 MB)
