@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00240957,
 author = {原, 淳一郎 and 毛利, 公一 and 瀧本, 栄二 and Jun'ichiro, Hara and Koichi, Mouri and Eiji, Takimoto},
 book = {コンピュータセキュリティシンポジウム2024論文集},
 month = {Oct},
 note = {攻撃手口の巧妙化やマルウェアの多機能化により，組織内への侵入を完全に防ぐことは困難になっている．そのため，組織内ネットワークに侵入された後の対策を講じる必要があり，対策の1つとして，NIDSの導入が挙げられる．NIDSはホスト間の通信を監視し悪性通信の検知ができる一方で，暗号化やフラグメント化された通信については内容を把握できないため検知できないという課題がある．また，悪性通信を検知した際に，その攻撃が成功しているか否か判断できないという課題もある．本論文では，実在しないホストおよびサーバに対する通信に対して応答を偽装することで，悪性通信を誘発し，かつ暗号化された通信内容をアプリケーションレベルで取得可能にする手法を提案する．提案手法により，実在しないホスト宛の通信のコネクション確立以降の挙動観測と，通信内容のアプリケーションレベルでの情報収集が可能となる．その結果，NIDSの検知に有用な情報が増加するため，検知率の向上が期待できる．実際に，提案手法を用いて，疑似マルウェアの攻撃誘発と攻撃情報の収集ができることを確認した．, One countermeasure after an organization's network intrusion is deploying a NIDS. However, NIDS is weak because it cannot detect encrypted or fragmented communications and cannot understand their contents. In addition, when they detect malicious communications, they cannot determine whether the attack was successful or not. In this paper, we propose a method to induce malicious communication by spoofing responses to communication to a non-existent host or server and to obtain the encrypted communication contents at the application level. The proposed method can observe the behavior of communication to a non-existent host after the connection is established and collect application-level information about the communication contents. As a result, the detection rate of NIDS is expected to be improved because the valuable information for NIDS detection is increased. We confirmed that the proposed method can induce pseudo-malware attacks and collect attack information.},
 pages = {1587--1593},
 publisher = {情報処理学会},
 title = {実在しないサーバ群を偽装した環境を用いる組織内悪性通信の情報収集手法},
 year = {2024}
}