文献

J-GLOBAL ID：201802290559093905   整理番号：18A0050690

攻撃者に察知されにくい情報を用いたC&Cサーバの検知手法の提案と評価

Proposal and Evaluation of Method for Detecting C&C Server Using Unobserved Information by Attackers

著者 (3件)： 久山真宏 (東京電機大) ,  柿崎淑郎 (東京電機大) ,  佐々木良一 (東京電機大)
資料名： 情報処理学会論文誌ジャーナル(Web)
巻： 58  号： 9  ページ： 1410-1418 (WEB ONLY)  発行年： 2017年09月15日 
JST資料番号： U0452A  ISSN： 1882-7764  資料種別： 逐次刊行物 (A)
記事区分： 原著論文  発行国： 日本 (JPN)  言語： 日本語 (JA)

抄録/ポイント： 近年,標的型攻撃による被害が問題になっている。標的型攻撃では,特定の企業や組織にマルウェアを感染させた後にC&Cサーバとの間で様々な通信を行い,情報を接収する。マルウェアを感染させる手口は年々巧妙化しており,マルウェアの感染を防ぐための対策だけでは不十分である。そのため,次善の対策としてC&Cサーバの通信を検知することがあげられる。しかし,C&Cサーバを検知する従来手法では,解析する過程で攻撃者に解析していることを知られてしまう危険性がある。そこで,本研究では攻撃者に解析されていることを知られずに解析する手法を提案する。本手法では,攻撃者に知られない情報としてドメインのWHOISと検索エンジンから得られた特徴と教師あり機械学習を用いてC&Cサーバの判別を行う。提案手法に実データを適用し交差検証法でC&Cサーバの判別を行った結果,約98.9%と比較的高い検知率を得ることができ,有効性の見通しを得ることができたので報告する。(著者抄録)

シソーラス用語： インターネット ,  攻撃行動 ,  *コンピュータセキュリティ ,  *マルウェア ,  *クライアントサーバシステム ,  *サポートベクトルマシン ,  *ニューラルネットワーク ,  検索エンジン ,  機械学習 ,  交差検証法 ,  TCP/IP ,  番地指定方式 ,  特徴抽出 ,  教師付き機械学習 ,  ドメインネーム ,  数学 ,  誤差論
準シソーラス用語： 標的型攻撃 ,  C&Cサーバ ,  教師あり機械学習 ,  WHOIS ,  ドメイン名

分類 (1件)： データ保護  (JD01020V)

引用文献 (28件)：

• 標的型攻撃等の脅威について,入手先 http://www.nisc.go.jp/conference/suishin/ciso/dai18/pdf/2.pdf (参照 2016-08-01).
• 標的型攻撃対策指南書(第1版),入手先 http://www.lac.co.jp/anti-apt/guidebook/pdf/anti-apt guidebook ver1.pdf(参照 2016-08-01).
• 「高度標的型攻撃」対策に向けたシステム設計ガイド,入手先 https://www.ipa.go.jp/files/000046236.pdf(参照 2016-08-01).
• 久山真宏,佐々木良一:ドメインの WHOIS 構造を用いた悪性ドメインの判別手法,DICOMO2016 (2016).
• 久山真宏,柿崎淑郎,佐々木良一:攻撃者に察知されにくい情報を用いた C&C サーバの判別手法,コンピュータセキュリティシンポジウム 2016 論文集,pp.625-631 (2016).

タイトルに関連する用語 (5件)： 攻撃者 ,  サーバ ,  手法 ,  提案 ,  評価