@techreport{oai:ipsj.ixsq.nii.ac.jp:00234263,
 author = {岡部, 将也 and 角田, 裕 and Masaya, Okabe and Hiroshi, Tsunoda},
 issue = {26},
 month = {May},
 note = {セキュリティインシデントの原因究明においてパケットキャプチャは貴重な情報源である．ホスト上でパケットをキャプチャする際にその送受信元のアプリケーションを併せて把握しておくことができれば，インシデント発生のきっかけとなったアプリケーションの特定を効率化できる．しかし，既存のパケットアナライザはプロトコル解析に特化しているため，直接的にパケットを送受信したアプリケーションを特定できない．そこで，我々はカーネルからユーザ空間までの広範囲の情報を取得可能な技術である eBPF (extended Berkeley Packet Filter) を利用してパケット情報とプロセス情報を関連付けることにより，パケットにアプリケーション名をマッピングした．本稿では，この機能をアプリ別パケットキャプチャツールとして実装し，アプリの通信行動監視と通信アプリの識別の 2 つのユースケースを想定したパケットキャプチャにより有用性を確認する．また，パケット単位のアプリケーション識別の応用について議論する．, Packet capture provides a valuable source of information for investigating the causes of security incidents. If we can identify the applications sending and receiving packets while capturing them on a host, we can streamline the process of determining which application triggered the incident. In this paper, we propose an application-wise packet capture technique based on the eBPF (extended Berkeley Packet Filter) technology. Using the eBPF, we can obtain a wide range of information from the kernel to the user space, associate packet information with process information, and map application names to packets. We developed a prototype of the proposed packet capture tool and confirmed its usefulness through two use cases: monitoring a targeted application’s behavior and identifying the source or destination applications of captured packets. We also discuss the application of packet-level application identification.},
 title = {eBPFを用いたアプリケーション別パケットキャプチャツールの試作と応用},
 year = {2024}
}