| 電子情報通信学会 研究会発表申込システム 講演論文 詳細 |
技報閲覧サービス [ログイン] 技報アーカイブ |
| トップに戻る | 前のページに戻る | [Japanese] / [English] |
| 講演抄録/キーワード | ||
| 講演名 | 2018-03-07 13:25 局所的および大域的グラフ構造の特徴を併用したLAN内ステルススキャンの検知 ○長山弘樹・胡 博・神谷和憲・谷川真樹(NTT)  ICSS2017-52 |
|
| 抄録 | (和) | 近年,未知マルウェアの増加は著しく,マルウェアの侵入を100%防止することは難しいため,マルウェア感染の発生を前提として,LAN内での侵入拡大の起点となるスキャンを早期に検知する技術が重要となる. マルウェアによるスキャンは,迅速な感染拡大のため高速に実施されるという仮定が置かれることが多く,スキャン検知の既存研究では通信量や通信先数の増加を特徴とした検知技術が提案されてきた. 一方,検知を回避するために低レートで実施されるステルススキャンの手法も複数提唱されており,これらステルススキャンは通信量や通信先数を特徴とした検知手法では検知が困難である. そこで本研究ではLAN内ステルススキャンを検知するため,正常な通信接続関係から外れたスキャンを通信量に依らず検知する手法を提案する. 具体的には,取得が容易でかつ軽量な情報であるARP通信を用いてホスト間の通信接続関係をグラフとして表し,グラフの局所的および大局的な構造に着目した特徴量を併用するとともに,局所的グラフ特徴量として通信の向きを考慮した 隣接ノードの次数中心性を新たに導入し,正常時とスキャン発生時の通信接続関係を学習させることで,ステルススキャンを検知する手法を提案する.提案方式の評価のため通信先数を特徴とした検知手法との検知精度比較を行い, 提案方式ではFalse Positive Rateが0.5%の際のTrue Positive Rateが26.2%向上することを確認した. |
| (英) | In recent years, the increase of unknown malware is remarkable and it is difficult to prevent malware infiltration by 100%. Therefore, considering the occurrence of malware infection as the premise, it is important to create a technology to detect invasive activity such as scan by malware on LAN. Often the assumption is made that scanning activities are carried out fast, and in the existing research on scan detection, a detection technique using feature of an increase in traffic volume has been proposed. Meanwhile, a stealth scan technique implemented at a low rate to avoid detection has also been proposed and these stealth scans are difficult to detect by the conventional detection method. Therefore, we propose a method to detect stealth scans out of the normal communication connection relation regardless of traffic volume. Specifically, the communication connection relationship between the hosts is expressed as a graph by using ARP communication which is easy to obtain and is lightweight, and we combining feature focusing on the local and global structure of the graph, and also newly design the degree centrality of the neighbor nodes considering the direction of communication as the local graph feature. In the proposed method, stealth scan is detected by learning the communication connection relationship at the time of normal and time of occurrence of scans expressed by these feature. |
|
| キーワード | (和) | グラフマイニング / ARP / ステルススキャン / 異常検知 / / / / |
| (英) | graph mining / ARP / stealth scan / anomaly detection / / / / | |
| 文献情報 | 信学技報, vol. 117, no. 481, ICSS2017-52, pp. 7-12, 2018年3月. | |
| 資料番号 | ICSS2017-52 | |
| 発行日 | 2018-02-28 (ICSS) | |
| ISSN | Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 | |
| 著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) | |
| PDFダウンロード | ICSS2017-52 |
|
| 研究会情報 | |
| 研究会 | ICSS IPSJ-SPT |
| 開催期間 | 2018-03-07 - 2018-03-08 |
| 開催地(和) | 沖縄北部雇用能力開発総合センター |
| 開催地(英) | Okinawa Hokubu Koyou Nouryoku Kaihatsu Sougou Center |
| テーマ(和) | セキュリティ,トラスト,一般 |
| テーマ(英) | Security, Trust, etc. |
| 講演論文情報の詳細 | |
| 申込み研究会 | ICSS |
| 会議コード | 2018-03-ICSS-SPT |
| 本文の言語 | 日本語 |
| タイトル(和) | 局所的および大域的グラフ構造の特徴を併用したLAN内ステルススキャンの検知 |
| サブタイトル(和) | |
| タイトル(英) | Combining Local and Global Graph-based Features for Stealth Scan Detection on LAN |
| サブタイトル(英) | |
| キーワード(1)(和/英) | グラフマイニング / graph mining |
| キーワード(2)(和/英) | ARP / ARP |
| キーワード(3)(和/英) | ステルススキャン / stealth scan |
| キーワード(4)(和/英) | 異常検知 / anomaly detection |
| キーワード(5)(和/英) | / |
| キーワード(6)(和/英) | / |
| キーワード(7)(和/英) | / |
| キーワード(8)(和/英) | / |
| 第1著者 氏名(和/英/ヨミ) | 長山 弘樹 / Hiroki Nagayama / ナガヤマ ヒロキ |
| 第1著者 所属(和/英) | 日本電信電話株式会社 (略称: NTT) Nippon Telegraph and Telephone Corporation (略称: NTT) |
| 第2著者 氏名(和/英/ヨミ) | 胡 博 / Bo HU / コ ハク |
| 第2著者 所属(和/英) | 日本電信電話株式会社 (略称: NTT) Nippon Telegraph and Telephone Corporation (略称: NTT) |
| 第3著者 氏名(和/英/ヨミ) | 神谷 和憲 / Kazunori Kamiya / カミヤ カズノリ |
| 第3著者 所属(和/英) | 日本電信電話株式会社 (略称: NTT) Nippon Telegraph and Telephone Corporation (略称: NTT) |
| 第4著者 氏名(和/英/ヨミ) | 谷川 真樹 / Masaki Tanikawa / タニカワ マサキ |
| 第4著者 所属(和/英) | 日本電信電話株式会社 (略称: NTT) Nippon Telegraph and Telephone Corporation (略称: NTT) |
| 第5著者 氏名(和/英/ヨミ) | / / |
| 第5著者 所属(和/英) | (略称: ) (略称: ) |
| 第6著者 氏名(和/英/ヨミ) | / / |
| 第6著者 所属(和/英) | (略称: ) (略称: ) |
| 第7著者 氏名(和/英/ヨミ) | / / |
| 第7著者 所属(和/英) | (略称: ) (略称: ) |
| 第8著者 氏名(和/英/ヨミ) | / / |
| 第8著者 所属(和/英) | (略称: ) (略称: ) |
| 第9著者 氏名(和/英/ヨミ) | / / |
| 第9著者 所属(和/英) | (略称: ) (略称: ) |
| 第10著者 氏名(和/英/ヨミ) | / / |
| 第10著者 所属(和/英) | (略称: ) (略称: ) |
| 第11著者 氏名(和/英/ヨミ) | / / |
| 第11著者 所属(和/英) | (略称: ) (略称: ) |
| 第12著者 氏名(和/英/ヨミ) | / / |
| 第12著者 所属(和/英) | (略称: ) (略称: ) |
| 第13著者 氏名(和/英/ヨミ) | / / |
| 第13著者 所属(和/英) | (略称: ) (略称: ) |
| 第14著者 氏名(和/英/ヨミ) | / / |
| 第14著者 所属(和/英) | (略称: ) (略称: ) |
| 第15著者 氏名(和/英/ヨミ) | / / |
| 第15著者 所属(和/英) | (略称: ) (略称: ) |
| 第16著者 氏名(和/英/ヨミ) | / / |
| 第16著者 所属(和/英) | (略称: ) (略称: ) |
| 第17著者 氏名(和/英/ヨミ) | / / |
| 第17著者 所属(和/英) | (略称: ) (略称: ) |
| 第18著者 氏名(和/英/ヨミ) | / / |
| 第18著者 所属(和/英) | (略称: ) (略称: ) |
| 講演者 | 第1著者 |
| 発表日時 | 2018-03-07 13:25:00 |
| 発表時間 | 25分 |
| 申込先研究会 | ICSS |
| 資料番号 | ICSS2017-52 |
| 巻番号(vol) | vol.117 |
| 号番号(no) | no.481 |
| ページ範囲 | pp.7-12 |
| ページ数 | 6 |
| 発行日 | 2018-02-28 (ICSS) |
[研究会発表申込システムのトップページに戻る]