講演抄録/キーワード |
講演名 |
2018-03-08 13:25
通信先の悪性判定のための応答シグネチャ生成法の検討 ○篠宮一真・張 一凡・胡 博・神谷和憲・谷川真樹(NTT) ICSS2017-77 |
抄録 |
(和) |
マルウェア感染後の対策としてブラックリストとのマッチングによる検知が有効である.しかし,ある端末の通信がブラックリストにマッチしたとしても,その端末が悪性サーバとの通信に成功し,感染しているとは限らない.攻撃者の攻撃検知回避や悪性サーバの遮断により,通信先が存在しない場合や,通信先が存在しても正常サーバとなっている場合がある.また端末の通信先が悪性サーバであったとしても,攻撃者の設定変更等により正しく接続できず,その端末が攻撃者の制御下にあるとは限らない.
本研究では,悪性サーバへのリクエストだけでなく,応答まで含めたシグネチャを作成することで,不審なサーバとの通信が真に悪性であるか判定する技術の検討を行う.具体的には,大量のマルウェアの通信データから,マルウェアの発信するリクエストおよび通信先からの応答を抽出してクラスタリングを行い,頻出パターンマイニングにより,リクエストと応答を含むシグネチャ(応答シグネチャ)を生成する.これにより得られた応答シグネチャを用いて,悪性通信の検知に関する評価を行ったところ,マルウェアのリクエストのみから生成したシグネチャに対し,誤検知を低減できたことから,マルウェアの感染判定に効果があることを示した. |
(英) |
Blacklist is frequently deployed for detecting malware-infected hosts. However, even when request traffic from one host is matched with blacklist, it is not always true that this host is under control of attacker. In many cases, attacker moves to different malicious servers and accessed server no more exists or becomes benign. Another possible case is that infected host does not successfully establish connection with malicious server due to configuration change by attacker.
In this paper, we examine a technique to judge if a communication with the suspicious server is truly malicious or not. Our approach is firstly clustering large amount of malware traffic data with features on both request and response packets, then extracting common request and response patters as response signature by frequent pattern mining. The evaluation result shows that response signature is effective for judging malware-infected hosts in that FPR improves compared with request-only signature. |
キーワード |
(和) |
シグネチャ / マルウェア / クラスタリング / / / / / |
(英) |
Signature / Malware / Clustering / / / / / |
文献情報 |
信学技報, vol. 117, no. 481, ICSS2017-77, pp. 157-160, 2018年3月. |
資料番号 |
ICSS2017-77 |
発行日 |
2018-02-28 (ICSS) |
ISSN |
Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
ICSS2017-77 |