電子情報通信学会 研究会発表申込システム
講演論文 詳細
技報閲覧サービス
技報オンライン
‥‥ (ESS/通ソ/エレソ/ISS)
技報アーカイブ
‥‥ (エレソ)
 トップに戻る 前のページに戻る   [Japanese] / [English] 

講演抄録/キーワード
講演名 2007-06-22 14:35
ホワイトリストを用いたワーム感染ホスト特定法
上山憲昭森 達哉川原亮一原田薫明吉野秀明NTT
技報オンラインサービス実施中
抄録 (和) 近年,インターネットではワームの感染拡大が問題になっている.ワームに感染したホストは次に感染させるホストを見つけるためにスキャンを行うため,短時間に大量のフローを生成する特徴がある.そこで筆者らは,任意に定めた測定期間と閾値に対して,測定期間内の生成フロー数が閾値以上のホストをSuperspreaderと定義し,サンプルフロー情報を用いてSuperspreaderを特定する方法を提案した.しかしSuperspreaderにはDNSサーバといった,正常なホストであるが大量のフローを生成するホストも含まれる.そのため単に特定されたSuperspreaderに対してレート規制や切断といった規制処理を行うと,正常なホストまで規制される問題がある.一方,正常なホストで大量のフローを生成するホストは,連続した複数の測定期間でSuperspreaderとなる傾向がある.そこで本稿では,正常期間中には特定されたホストのIPアドレスをホワイトリストに収容し,ワーム感染拡大中は,特定されたホストをホワイトリストと照合することで,ワーム感染ホストを絞り込む方法を提案する. 
(英) In the Internet, a rapid spread of worm is a serious problem. In many cases, worm-infected hosts generate huge amount of flows with small size to search other target hosts by port-scanning. So, we defined hosts generating flows more than or equal to the threshold during a measurement period as superspreaders and proposed a method identifying superspreaders by flow sampling. However, some normal hosts generating many flows, such as DNS servers, can be also superspreaders. Therefore, if we regulate all identified superspreaders, e.g., limiting the flow generation rate or quarantining, these normal hosts are also regulated. Normal hosts generating many flows tend to be superspreaders in multiple continuous measurement periods. So in this paper, we propose a method of identifying worm-infected hosts using a white list. During a normal period, we insert the IP addresses of identified hosts into the white list. During a worm outbreak period, we identify worm-infected hosts by comparing the identified host with those stored in the white list.
キーワード (和) トラヒック計測 / セキュリティ / ワーム / 特定 / ホワイトリスト / / /  
(英) traffic measurement / security / worm / identification / white list / / /  
文献情報 信学技報, vol. 107, no. 98, IN2007-24, pp. 79-84, 2007年6月.
資料番号 IN2007-24 
発行日 2007-06-14 (IN) 
ISSN Print edition: ISSN 0913-5685  Online edition: ISSN 2432-6380

研究会情報
研究会 IN  
開催期間 2007-06-21 - 2007-06-22 
開催地(和) はこだて未来大学 
開催地(英) Future University-Hakodate 
テーマ(和) NGN,VoIP,コンテンツ配信,IPv6,次世代ネットワークおよび一般 
テーマ(英) NGN, VoIP, Contents Delivery Network, IPv6, Next Generation Network, etc. 
講演論文情報の詳細
申込み研究会 IN 
会議コード 2007-06-IN 
本文の言語 日本語 
タイトル(和) ホワイトリストを用いたワーム感染ホスト特定法 
サブタイトル(和)  
タイトル(英) Identifying Worm-Infected Hosts Using White List 
サブタイトル(英)  
キーワード(1)(和/英) トラヒック計測 / traffic measurement  
キーワード(2)(和/英) セキュリティ / security  
キーワード(3)(和/英) ワーム / worm  
キーワード(4)(和/英) 特定 / identification  
キーワード(5)(和/英) ホワイトリスト / white list  
キーワード(6)(和/英) /  
キーワード(7)(和/英) /  
キーワード(8)(和/英) /  
第1著者 氏名(和/英/ヨミ) 上山 憲昭 / Noriaki Kamiyama / カミヤマ ノリアキ
第1著者 所属(和/英) NTT (略称: NTT)
NTT (略称: NTT)
第2著者 氏名(和/英/ヨミ) 森 達哉 / Tatsuya Mori / モリ タツヤ
第2著者 所属(和/英) NTT (略称: NTT)
NTT (略称: NTT)
第3著者 氏名(和/英/ヨミ) 川原 亮一 / Ryoichi Kawahara / カワハラ リョウイチ
第3著者 所属(和/英) NTT (略称: NTT)
NTT (略称: NTT)
第4著者 氏名(和/英/ヨミ) 原田 薫明 / Shigeaki Harada / ハラダ シゲアキ
第4著者 所属(和/英) NTT (略称: NTT)
NTT (略称: NTT)
第5著者 氏名(和/英/ヨミ) 吉野 秀明 / Hideaki Yoshino /
第5著者 所属(和/英) NTT (略称: NTT)
NTT (略称: NTT)
第6著者 氏名(和/英/ヨミ) / /
第6著者 所属(和/英) (略称: )
(略称: )
第7著者 氏名(和/英/ヨミ) / /
第7著者 所属(和/英) (略称: )
(略称: )
第8著者 氏名(和/英/ヨミ) / /
第8著者 所属(和/英) (略称: )
(略称: )
第9著者 氏名(和/英/ヨミ) / /
第9著者 所属(和/英) (略称: )
(略称: )
第10著者 氏名(和/英/ヨミ) / /
第10著者 所属(和/英) (略称: )
(略称: )
第11著者 氏名(和/英/ヨミ) / /
第11著者 所属(和/英) (略称: )
(略称: )
第12著者 氏名(和/英/ヨミ) / /
第12著者 所属(和/英) (略称: )
(略称: )
第13著者 氏名(和/英/ヨミ) / /
第13著者 所属(和/英) (略称: )
(略称: )
第14著者 氏名(和/英/ヨミ) / /
第14著者 所属(和/英) (略称: )
(略称: )
第15著者 氏名(和/英/ヨミ) / /
第15著者 所属(和/英) (略称: )
(略称: )
講演者
発表日時 2007-06-22 14:35:00 
発表時間 25 
申込先研究会 IN 
資料番号 IEICE-IN2007-24 
巻番号(vol) IEICE-107 
号番号(no) no.98 
ページ範囲 pp.79-84 
ページ数 IEICE-6 
発行日 IEICE-IN-2007-06-14 


[研究会発表申込システムのトップページに戻る]

[電子情報通信学会ホームページ]


IEICE / 電子情報通信学会