| 電子情報通信学会 研究会発表申込システム 講演論文 詳細 |
技報閲覧サービス [ログイン] 技報アーカイブ |
| トップに戻る | 前のページに戻る | [Japanese] / [English] |
| 講演抄録/キーワード | ||
| 講演名 | 2018-03-08 13:25 通信先の悪性判定のための応答シグネチャ生成法の検討 ○篠宮一真・張 一凡・胡 博・神谷和憲・谷川真樹(NTT)  ICSS2017-77 |
|
| 抄録 | (和) | マルウェア感染後の対策としてブラックリストとのマッチングによる検知が有効である.しかし,ある端末の通信がブラックリストにマッチしたとしても,その端末が悪性サーバとの通信に成功し,感染しているとは限らない.攻撃者の攻撃検知回避や悪性サーバの遮断により,通信先が存在しない場合や,通信先が存在しても正常サーバとなっている場合がある.また端末の通信先が悪性サーバであったとしても,攻撃者の設定変更等により正しく接続できず,その端末が攻撃者の制御下にあるとは限らない. 本研究では,悪性サーバへのリクエストだけでなく,応答まで含めたシグネチャを作成することで,不審なサーバとの通信が真に悪性であるか判定する技術の検討を行う.具体的には,大量のマルウェアの通信データから,マルウェアの発信するリクエストおよび通信先からの応答を抽出してクラスタリングを行い,頻出パターンマイニングにより,リクエストと応答を含むシグネチャ(応答シグネチャ)を生成する.これにより得られた応答シグネチャを用いて,悪性通信の検知に関する評価を行ったところ,マルウェアのリクエストのみから生成したシグネチャに対し,誤検知を低減できたことから,マルウェアの感染判定に効果があることを示した. |
| (英) | Blacklist is frequently deployed for detecting malware-infected hosts. However, even when request traffic from one host is matched with blacklist, it is not always true that this host is under control of attacker. In many cases, attacker moves to different malicious servers and accessed server no more exists or becomes benign. Another possible case is that infected host does not successfully establish connection with malicious server due to configuration change by attacker. In this paper, we examine a technique to judge if a communication with the suspicious server is truly malicious or not. Our approach is firstly clustering large amount of malware traffic data with features on both request and response packets, then extracting common request and response patters as response signature by frequent pattern mining. The evaluation result shows that response signature is effective for judging malware-infected hosts in that FPR improves compared with request-only signature. |
|
| キーワード | (和) | シグネチャ / マルウェア / クラスタリング / / / / / |
| (英) | Signature / Malware / Clustering / / / / / | |
| 文献情報 | 信学技報, vol. 117, no. 481, ICSS2017-77, pp. 157-160, 2018年3月. | |
| 資料番号 | ICSS2017-77 | |
| 発行日 | 2018-02-28 (ICSS) | |
| ISSN | Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 | |
| 著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) | |
| PDFダウンロード | ICSS2017-77 |
|
| 研究会情報 | |
| 研究会 | ICSS IPSJ-SPT |
| 開催期間 | 2018-03-07 - 2018-03-08 |
| 開催地(和) | 沖縄北部雇用能力開発総合センター |
| 開催地(英) | Okinawa Hokubu Koyou Nouryoku Kaihatsu Sougou Center |
| テーマ(和) | セキュリティ,トラスト,一般 |
| テーマ(英) | Security, Trust, etc. |
| 講演論文情報の詳細 | |
| 申込み研究会 | ICSS |
| 会議コード | 2018-03-ICSS-SPT |
| 本文の言語 | 日本語 |
| タイトル(和) | 通信先の悪性判定のための応答シグネチャ生成法の検討 |
| サブタイトル(和) | |
| タイトル(英) | Response Signature Generation method for Detecting Malicious Destinations |
| サブタイトル(英) | |
| キーワード(1)(和/英) | シグネチャ / Signature |
| キーワード(2)(和/英) | マルウェア / Malware |
| キーワード(3)(和/英) | クラスタリング / Clustering |
| キーワード(4)(和/英) | / |
| キーワード(5)(和/英) | / |
| キーワード(6)(和/英) | / |
| キーワード(7)(和/英) | / |
| キーワード(8)(和/英) | / |
| 第1著者 氏名(和/英/ヨミ) | 篠宮 一真 / Kazuma Shinomiya / シノミヤ カズマ |
| 第1著者 所属(和/英) | 日本電信電話株式会社 (略称: NTT) Nippon Telegraph and Telephone Corporation (略称: NTT) |
| 第2著者 氏名(和/英/ヨミ) | 張 一凡 / Iifan Tyou / チョウ イイファン |
| 第2著者 所属(和/英) | 日本電信電話株式会社 (略称: NTT) Nippon Telegraph and Telephone Corporation (略称: NTT) |
| 第3著者 氏名(和/英/ヨミ) | 胡 博 / Bo Hu / コ ハク |
| 第3著者 所属(和/英) | 日本電信電話株式会社 (略称: NTT) Nippon Telegraph and Telephone Corporation (略称: NTT) |
| 第4著者 氏名(和/英/ヨミ) | 神谷 和憲 / Kazunori Kamiya / カミヤ カズノリ |
| 第4著者 所属(和/英) | 日本電信電話株式会社 (略称: NTT) Nippon Telegraph and Telephone Corporation (略称: NTT) |
| 第5著者 氏名(和/英/ヨミ) | 谷川 真樹 / Masaki Tanikawa / タニカワ マサキ |
| 第5著者 所属(和/英) | 日本電信電話株式会社 (略称: NTT) Nippon Telegraph and Telephone Corporation (略称: NTT) |
| 第6著者 氏名(和/英/ヨミ) | / / |
| 第6著者 所属(和/英) | (略称: ) (略称: ) |
| 第7著者 氏名(和/英/ヨミ) | / / |
| 第7著者 所属(和/英) | (略称: ) (略称: ) |
| 第8著者 氏名(和/英/ヨミ) | / / |
| 第8著者 所属(和/英) | (略称: ) (略称: ) |
| 第9著者 氏名(和/英/ヨミ) | / / |
| 第9著者 所属(和/英) | (略称: ) (略称: ) |
| 第10著者 氏名(和/英/ヨミ) | / / |
| 第10著者 所属(和/英) | (略称: ) (略称: ) |
| 第11著者 氏名(和/英/ヨミ) | / / |
| 第11著者 所属(和/英) | (略称: ) (略称: ) |
| 第12著者 氏名(和/英/ヨミ) | / / |
| 第12著者 所属(和/英) | (略称: ) (略称: ) |
| 第13著者 氏名(和/英/ヨミ) | / / |
| 第13著者 所属(和/英) | (略称: ) (略称: ) |
| 第14著者 氏名(和/英/ヨミ) | / / |
| 第14著者 所属(和/英) | (略称: ) (略称: ) |
| 第15著者 氏名(和/英/ヨミ) | / / |
| 第15著者 所属(和/英) | (略称: ) (略称: ) |
| 第16著者 氏名(和/英/ヨミ) | / / |
| 第16著者 所属(和/英) | (略称: ) (略称: ) |
| 第17著者 氏名(和/英/ヨミ) | / / |
| 第17著者 所属(和/英) | (略称: ) (略称: ) |
| 第18著者 氏名(和/英/ヨミ) | / / |
| 第18著者 所属(和/英) | (略称: ) (略称: ) |
| 講演者 | 第1著者 |
| 発表日時 | 2018-03-08 13:25:00 |
| 発表時間 | 25分 |
| 申込先研究会 | ICSS |
| 資料番号 | ICSS2017-77 |
| 巻番号(vol) | vol.117 |
| 号番号(no) | no.481 |
| ページ範囲 | pp.157-160 |
| ページ数 | 4 |
| 発行日 | 2018-02-28 (ICSS) |
[研究会発表申込システムのトップページに戻る]