WEKO3
アイテム
TLS嘘発見器は作れるか
https://ipsj.ixsq.nii.ac.jp/records/228799
https://ipsj.ixsq.nii.ac.jp/records/228799e1b81a66-dedb-42aa-b714-e21095788692
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-CSS2023186.pdf (518.9 kB)
2025年10月23日からダウンロード可能です。
|
Copyright (c) 2023 by the Information Processing Society of Japan
|
|
| 非会員:¥660, IPSJ:学会員:¥330, CSEC:会員:¥0, SPT:会員:¥0, DLIB:会員:¥0 | ||
| Item type | Symposium(1) | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| 公開日 | 2023-10-23 | |||||||||
| タイトル | ||||||||||
| タイトル | TLS嘘発見器は作れるか | |||||||||
| タイトル | ||||||||||
| 言語 | en | |||||||||
| タイトル | Can We Create a TLS Lie Detector? | |||||||||
| 言語 | ||||||||||
| 言語 | jpn | |||||||||
| キーワード | ||||||||||
| 主題Scheme | Other | |||||||||
| 主題 | SSL/TLS, シャノンエントロピー, 乱数検定, 新規性検知 | |||||||||
| 資源タイプ | ||||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_5794 | |||||||||
| 資源タイプ | conference paper | |||||||||
| 著者所属 | ||||||||||
| 情報セキュリティ大学院大学情報セキュリティ研究科/NTTコミュニケーションズ株式会社 | ||||||||||
| 著者所属 | ||||||||||
| 情報セキュリティ大学院大学情報セキュリティ研究科 | ||||||||||
| 著者所属(英) | ||||||||||
| en | ||||||||||
| Graduate School of Information Security, Institute of Information Security / NTT Communications Corporation | ||||||||||
| 著者所属(英) | ||||||||||
| en | ||||||||||
| Graduate School of Information Security, Institute of Information Security | ||||||||||
| 著者名 |
神田, 敦
× 神田, 敦
× 橋本, 正樹
|
|||||||||
| 著者名(英) |
Atsushi, Kanda
× Atsushi, Kanda
× Masaki, Hashimoto
|
|||||||||
| 論文抄録 | ||||||||||
| 内容記述タイプ | Other | |||||||||
| 内容記述 | 昨今,セキュリティ意識の高まりを背景に暗号化通信技術が広く普及した結果,攻撃者も暗号化通信が使われていることを前提として攻撃の秘匿性を高める戦術をとることが増えた.その一例としてLazarus をはじめとする一部の脅威アクターについて,Transport Layer Security (TLS)通信に見せかけてそのハンドシェイク内容とは異なる暗号方式を用いることでDeep Packet Inspection(DPI)による検知・遮断からの回避を狙ったFakeTLS と呼ばれる手法が報告されている.本研究では,Lazarus の用いた FakeTLS をベースとして,通信内容を復号することなくハンドシェイクとは異なる暗号方式が用いられているか否かの判定を試みた.攻撃者が侵入初期に収集することの多いコマンド出力を元データに,正常なTLS 通信を行ったデータとLazarus の手法を模した暗号化(XOR/AND およびRC4)を施したデータをデータセットとして,先行研究の結果を踏まえて暗号化データのシャノンエントロピーと乱数性に基づいた特徴量に新規性検知の手法を用いた識別器(TLS 嘘発見器)を構築,識別させた結果,F1 値0.76,マシューズ相関係数0.74 で嘘を見破ることができた. |
|||||||||
| 論文抄録(英) | ||||||||||
| 内容記述タイプ | Other | |||||||||
| 内容記述 | As a result of the widespread use of encryption technology, attackers are increasingly using tactics to increase the stealthyness of their attacks based on the assumption that encrypted communications are commonly used. As an example, some threat actors, including Lazarus, have been reported to use a sophisticated blocking by Deep Packet Inspection (DPI). In this study, based on the FakeTLS method used by Lazarus, we attempted to distinguish whether the TLS communication has been spoofed or not without decrypting the communication contents. While using command output which is often collected by attackers in the early stages of an intrusion, as an input, we created dataset of real TLS communication and FakeTLS (using same encryption method as Lazarus) . We collect the features based on the Shannon entropy and randomness testing from encrypted part of the TLS communication, and using novelty detection methods to built classifier (TLS Lie Detectors). Experimental result show that our proposed method can detect the lies with an F1 score of 0.76 and a Mathews correlation coefficient of 0.74. | |||||||||
| 書誌情報 |
コンピュータセキュリティシンポジウム2023論文集 p. 1365-1372, 発行日 2023-10-23 |
|||||||||
| 出版者 | ||||||||||
| 言語 | ja | |||||||||
| 出版者 | 情報処理学会 | |||||||||
