WEKO3
-
RootNode
アイテム
TCPフィンガープリントによる悪意のある通信の分析
https://ipsj.ixsq.nii.ac.jp/records/74778
https://ipsj.ixsq.nii.ac.jp/records/747788e211c29-3491-4e9d-b92c-772c3170d0f4
名前 / ファイル | ライセンス | アクション |
---|---|---|
![]() |
Copyright (c) 2009 by the Information Processing Society of Japan
|
|
オープンアクセス |
Item type | Symposium(1) | |||||||
---|---|---|---|---|---|---|---|---|
公開日 | 2009-10-19 | |||||||
タイトル | ||||||||
タイトル | TCPフィンガープリントによる悪意のある通信の分析 | |||||||
タイトル | ||||||||
言語 | en | |||||||
タイトル | Analysis of malicious traffic based on TCP fingerprinting | |||||||
言語 | ||||||||
言語 | jpn | |||||||
キーワード | ||||||||
主題Scheme | Other | |||||||
主題 | 攻撃通信データ | |||||||
資源タイプ | ||||||||
資源タイプ識別子 | http://purl.org/coar/resource_type/c_5794 | |||||||
資源タイプ | conference paper | |||||||
著者所属 | ||||||||
早稲田大学理工学術院基幹理工学研究科 | ||||||||
著者所属 | ||||||||
早稲田大学理工学術院基幹理工学研究科 | ||||||||
著者所属 | ||||||||
NTT サービスインテグレーション基盤研究所 | ||||||||
著者所属 | ||||||||
早稲田大学理工学術院基幹理工学研究科 | ||||||||
著者所属 | ||||||||
著者所属(英) | ||||||||
en | ||||||||
School of Science and Engineering,Waseda University | ||||||||
著者所属(英) | ||||||||
en | ||||||||
School of Science and Engineering,Waseda University | ||||||||
著者所属(英) | ||||||||
en | ||||||||
NTT Service Integration Laboratories | ||||||||
著者所属(英) | ||||||||
en | ||||||||
School of Science and Engineering,Waseda University | ||||||||
著者名 |
木佐森, 幸太
× 木佐森, 幸太
|
|||||||
著者名(英) |
Kota, Kisamori
× Kota, Kisamori
|
|||||||
論文抄録 | ||||||||
内容記述タイプ | Other | |||||||
内容記述 | Trojan.Srizbi に代表されるフルカーネル・マルウェア(FKM) は独自のネットワークドライバを実装し,カーネルモードの通信を行うことで監視ツールからの隠匿を試みる.これらのネットワークドライバは独自の実装であるため,既存 OS とは異なる TCP ヘッダの特徴 (フィンガープリント,以下 FP) を有することが知られている.本研究では CCC DATAset の攻撃通信データを分析対象とし,FKM の可能性が高い独自なFP を抽出する.また,その中で出現頻度の高い FP を有する IP アドレス発の通信を詳細に分析する.さらに,発見した FP を他の実ネットワーク計測データに適用し,FKM 感染ホストの実態調査および通信パターン分析を行い,提案した技法の有効性を検討する. | |||||||
論文抄録(英) | ||||||||
内容記述タイプ | Other | |||||||
内容記述 | Modern full-kernel malware (FKM) such as Trojan.Srizbi is known to have its ownnetwork functionality and use it directly from kernel-mode for evasion purpose, concealing fromrecent alert tools. These network drivers tend to have its own implementation which exhibitsintrinsic TCP fingerprints. We first attempt to extract FKM-possible TCP fingerprints usingCCC (Cyber Clean Center) data sets, then we analyze traffic sequences which have frequretlyoccuredsource IP addresses. We then study the properties of the fingerprints and the activitiesof the hosts that are likely infected with FKM through the analysis of CCC data sets and othertraffic data sets of several production networks. | |||||||
書誌情報 |
コンピュータセキュリティシンポジウム2009 (CSS2009) 論文集 巻 2009, p. 1-6, 発行日 2011-10-12 |
|||||||
出版者 | ||||||||
言語 | ja | |||||||
出版者 | 情報処理学会 |