講演抄録/キーワード |
講演名 |
2016-03-04 11:00
プロセスの出現頻度や通信状態に着目した不審プロセス判定 ○中里純二・津田 侑・衛藤将史・井上大介・中尾康二(NICT) ICSS2015-60 |
抄録 |
(和) |
標的型攻撃による重大なセキュリティインシデントが多く発生している.標的型攻撃で利用されるマルウェアは,アンチウイルスソフトウェアなどで検知する事が難しく,感染が発見されるまで長期間に渡り索敵などの情報収集や攻撃活動を行なう.そこで,本研究では普段利用されることのない不審なプロセスの動作をいち早く見つけ出す手法の提案を行なう.各ホスト内部で動作するプロセスリストを定期的に取得し,特定のユーザのみが利用する不審な通信を伴ったプロセスの抽出を行なう.同一プロセスが動作するホストの数や頻度,さらにネットワーク状態からプロセス毎に特徴量を算出し,各プロセスの不審度を決定する.プロセスの動作頻度や動作ホスト数のみでは,ユーザ環境に依存して動作するプロセスを誤検知する恐れがあるため,ネットワーク状態(通信先など)を監視する事で通常通信以外の不審な通信(C&CやRAT通信など)を行なうプロセスをいち早く検知する事が可能になる. |
(英) |
Many serious security incidents caused by the targeted attacks have been occurred. The targeted attacks can not be prevented easily, because a malware that is used in the attack is difficult to detect by antivirus software. Consequently, the malware has been active for a long term in order to access important user, service, and specific system in a targeted organization. In this paper we proposed a new suspicious process detection scheme. The proposed scheme decides suspicious degree of a process by calculating feature value constructed with process frequency and number of user who executing the same process. Moreover, we use the network conditions, such as communication of a process in order to reduce a false positive. |
キーワード |
(和) |
標的型攻撃 / マルウェア検出 / プロセス出現頻度 / / / / / |
(英) |
targeted attack / malware detection / process frequency / / / / / |
文献情報 |
信学技報, vol. 115, no. 488, ICSS2015-60, pp. 77-82, 2016年3月. |
資料番号 |
ICSS2015-60 |
発行日 |
2016-02-25 (ICSS) |
ISSN |
Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
ICSS2015-60 |