@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00074778,
 author = {木佐森, 幸太 and 下田, 晃弘 and 森, 達哉 and 後藤, 滋樹 and Kota, Kisamori and Akihiro, Shimoda and Tatsuya, Mori and Shigeki, Goto},
 book = {コンピュータセキュリティシンポジウム2009　(CSS2009) 論文集},
 month = {Oct},
 note = {Trojan.Srizbi に代表されるフルカーネル・マルウェア(FKM) は独自のネットワークドライバを実装し，カーネルモードの通信を行うことで監視ツールからの隠匿を試みる．これらのネットワークドライバは独自の実装であるため，既存 OS とは異なる TCP ヘッダの特徴 (フィンガープリント，以下 FP) を有することが知られている．本研究では CCC DATAset の攻撃通信データを分析対象とし，FKM の可能性が高い独自なFP を抽出する．また，その中で出現頻度の高い FP を有する IP アドレス発の通信を詳細に分析する．さらに，発見した FP を他の実ネットワーク計測データに適用し，FKM 感染ホストの実態調査および通信パターン分析を行い，提案した技法の有効性を検討する．, Modern full-kernel malware (FKM) such as Trojan.Srizbi is known to have its ownnetwork functionality and use it directly from kernel-mode for evasion purpose, concealing fromrecent alert tools. These network drivers tend to have its own implementation which exhibitsintrinsic TCP fingerprints. We first attempt to extract FKM-possible TCP fingerprints usingCCC (Cyber Clean Center) data sets, then we analyze traffic sequences which have frequretlyoccuredsource IP addresses. We then study the properties of the fingerprints and the activitiesof the hosts that are likely infected with FKM through the analysis of CCC data sets and othertraffic data sets of several production networks.},
 pages = {1--6},
 publisher = {情報処理学会},
 title = {TCPフィンガープリントによる悪意のある通信の分析},
 volume = {2009},
 year = {2011}
}