| Item type |
SIG Technical Reports(1) |
| 公開日 |
2016-11-24 |
| タイトル |
|
|
タイトル |
エントロピーを用いた初期侵入段階におけるRATの通信検知手法の考察 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
A RAT detection method by using packet entropy on early intrusion stage |
| 言語 |
|
|
言語 |
jpn |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
| 著者所属 |
|
|
|
奈良先端科学技術大学院大学情報科学研究科 |
| 著者所属 |
|
|
|
東京工業大学情報理工学院 |
| 著者所属 |
|
|
|
奈良先端科学技術大学院大学情報科学研究科/東京電機大学 |
| 著者所属 |
|
|
|
奈良先端科学技術大学院大学総合情報基盤センター |
| 著者所属 |
|
|
|
奈良先端科学技術大学院大学総合情報基盤センター |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of information, Nara Institute of Science and Technology |
| 著者所属(英) |
|
|
|
en |
|
|
School of Computing, Tokyo Institute of Technology |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of information, Nara Institute of Science and Technology / Tokyo Denki University |
| 著者所属(英) |
|
|
|
en |
|
|
Information Initiative Center, Nara Institute of Science and Technology |
| 著者所属(英) |
|
|
|
en |
|
|
Information Initiative Center, Nara Institute of Science and Technology |
| 著者名 |
宇野, 真純
石井, 将大
猪俣, 敦夫
新井, イスマイル
藤川, 和利
|
| 著者名(英) |
Masumi, Uno
Masahiro, Ishii
Atsuo, Inomata
Ismail, Arai
Kazutoshi, Fujikawa
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Remote Access Trojan / Tool (RAT) とは標的型攻撃の初期侵入段階においてまず用いられる遠隔操作を可能にするツールである.標的型攻撃の検知においては,情報探索から端末制御段階までに RAT の通信を検知することが有用とされている.先行研究 [1] では,抽出された特徴が短期間の通信パケットであることから正常なアプリケーションとの区別が困難であることや,特定の通信プロトコルを使うことのみ想定した場合など環境に依存することがあるため,検知の条件を回避するための偽装が容易であること等の問題が存在する.本研究では,ある特定の通信プロトコルを用いるなどの制約された環境に依存せず,初期の侵入段階における RAT 通信の検知を目的とする.具体的には,先行研究で用いられた In / Out bound 通信のパケット数やバイト数などの複数の特徴に加え,通信パケットから新たにエントロピーを計算して特徴とした検知手法を提案する.エントロピーを用いることにより,限定された環境に依存しないなどの理由から限定した条件の回避による偽装が困難となる.さらに,本研究では RAT が確立した C & C サーバとの通信トラフィックのパケットの特徴より,攻撃者が行動を開始するまでの間の RAT 通信のエントロピーは小さくなると仮定し,検知においてエントロピーが示す情報が有用であることを示す. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Confidential information leaked accidentally by targetted attacks causes a serious social issue. In targeted attacks, Remote Access Trojan / tool (RAT) is mainly used. It is important to detect the RAT activity on intrusion stage to minimize damage by the attack. The detection of the RAT is getting more and more difficult with technological advance. Previous studies can not detect RAT which uses various kinds of protocols and they cannot detect advanced RAT. In this study, we aim to detect an early intrusion stage of RAT communication. This study uses packet entropy of the communication. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AA11235941 |
| 書誌情報 |
研究報告コンピュータセキュリティ(CSEC)
巻 2016-CSEC-75,
号 6,
p. 1-6,
発行日 2016-11-24
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8655 |
| Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-CSEC16075006.pdf (741.3 kB)
