電子情報通信学会 研究会発表申込システム
講演論文 詳細
技報閲覧サービス
技報オンライン
‥‥ (ESS/通ソ/エレソ/ISS)
技報アーカイブ
‥‥ (エレソ)
 トップに戻る 前のページに戻る   [Japanese] / [English] 

講演抄録/キーワード
講演名 2017-03-03 14:50
エントロピーを用いた初期潜入段階におけるRemote Access Trojanの通信検知
宇野真純奈良先端大)・石井将大東工大)・猪俣敦夫東京電機大)・新井イスマイル藤川和利奈良先端大
技報オンラインサービス実施中
抄録 (和) 標的型攻撃の検知においては,初期侵入段階から端末制御段階までにRemote Access Trojan/Tool(RAT)の通信を検知することが有用とされている.
しかし,標的型攻撃の検知における先行研究は,制御段階までに得られる情報を用いて検知が出来ないことや,抽出された特徴が短期間の通信パケットであるために正常なアプリケーションとの区別が困難であること,特定の通信プロトコルを使うことのみ想定した場合など環境に依存するために検知の条件を回避する偽装が容易であること等の問題が存在する.
本研究では初期侵入段階から端末制御段階までの間にRATの通信を検知することを目的とする.先行研究で用いられたIn/Out-bound通信のパケット数やバイト数などの複数の特徴に加え,RATが通信を確立した際のC&Cサーバとの通信トラフィックの通信パケットから新たにエントロピーを計算して新たに特徴とした検知手法を提案する.
提案手法に対してk-分割交差検定を行い,RATの通信の分類実験を行った結果,約96.2%の高い精度と1.6%の低い偽陽性を得られた. 
(英) Confidential information have been leaked accidentally by targetted attacks by targeted attacks.
Remote Access Trojan/tool (RAT) is mainly used in such attacks.
It is therefore important to detect the RAT activity on intrusion stage to minimize damage by the attack.
The detection of the RAT is getting more and more difficult with technological advance.
Advanced RATs which use various kinds of protocols cannot be detected with conventional methods.

In this study, we provide a method to detect an early intrusion stage of RAT communication by using network features of packet entropy of the communication.
We use several supervised machine learning algorithms and K-fold cross validation technique to validate using features of packet entropy.
From our experimental results, we report that our approach cant detect RAT sessions with the high accuracy 96.2% and the low false positive rate of 1.6%.
キーワード (和) ネットワークセキュリティ / 侵入検出・検知 / RAT / / / / /  
(英) Network Security / ntrusion Detection / RAT / / / / /  
文献情報 信学技報, vol. 116, no. 491, IA2016-98, pp. 41-46, 2017年3月.
資料番号 IA2016-98 
発行日 2017-02-24 (SITE, IA) 
ISSN Print edition: ISSN 0913-5685  Online edition: ISSN 2432-6380

研究会情報
研究会 IA SITE IPSJ-IOT  
開催期間 2017-03-03 - 2017-03-04 
開催地(和) カルチャーリゾート フェストーネ (沖縄県宜野湾市) 
開催地(英) Culture Resort Festone (Okinawa) 
テーマ(和) インターネットと情報倫理教育、一般 
テーマ(英) Internet and Information Ethics Education, etc. 
講演論文情報の詳細
申込み研究会 IA 
会議コード 2017-03-IA-SITE-IOT 
本文の言語 日本語 
タイトル(和) エントロピーを用いた初期潜入段階におけるRemote Access Trojanの通信検知 
サブタイトル(和)  
タイトル(英) Network based detection of Remote Access Trojan communication by using packet entropy on early instruction stage 
サブタイトル(英)  
キーワード(1)(和/英) ネットワークセキュリティ / Network Security  
キーワード(2)(和/英) 侵入検出・検知 / ntrusion Detection  
キーワード(3)(和/英) RAT / RAT  
キーワード(4)(和/英) /  
キーワード(5)(和/英) /  
キーワード(6)(和/英) /  
キーワード(7)(和/英) /  
キーワード(8)(和/英) /  
第1著者 氏名(和/英/ヨミ) 宇野 真純 / Masumi Uno / ウノ マスミ
第1著者 所属(和/英) 奈良先端科学技術大学院大学 (略称: 奈良先端大)
Graduate School of information ,Nara Institute of Science and Technology (略称: NAIST)
第2著者 氏名(和/英/ヨミ) 石井 将大 / Masahiro Ishii / イシイ マサヒロ
第2著者 所属(和/英) 東京工業大学 (略称: 東工大)
Tokyo Institute of Technology (略称: Tokyo Tech)
第3著者 氏名(和/英/ヨミ) 猪俣 敦夫 / Atsuo Inomata / イノマタ アツオ
第3著者 所属(和/英) 東京電機大学 (略称: 東京電機大)
Tokyo Denki University (略称: TDU)
第4著者 氏名(和/英/ヨミ) 新井 イスマイル / Ismail Arai / アライ イスマイル
第4著者 所属(和/英) 奈良先端科学技術大学院大学 (略称: 奈良先端大)
Graduate School of information ,Nara Institute of Science and Technology (略称: NAIST)
第5著者 氏名(和/英/ヨミ) 藤川 和利 / Kazutoshi Fujikawa / フジカワ カズトシ
第5著者 所属(和/英) 奈良先端科学技術大学院大学 (略称: 奈良先端大)
Graduate School of information ,Nara Institute of Science and Technology (略称: NAIST)
第6著者 氏名(和/英/ヨミ) / /
第6著者 所属(和/英) (略称: )
(略称: )
第7著者 氏名(和/英/ヨミ) / /
第7著者 所属(和/英) (略称: )
(略称: )
第8著者 氏名(和/英/ヨミ) / /
第8著者 所属(和/英) (略称: )
(略称: )
第9著者 氏名(和/英/ヨミ) / /
第9著者 所属(和/英) (略称: )
(略称: )
第10著者 氏名(和/英/ヨミ) / /
第10著者 所属(和/英) (略称: )
(略称: )
第11著者 氏名(和/英/ヨミ) / /
第11著者 所属(和/英) (略称: )
(略称: )
第12著者 氏名(和/英/ヨミ) / /
第12著者 所属(和/英) (略称: )
(略称: )
第13著者 氏名(和/英/ヨミ) / /
第13著者 所属(和/英) (略称: )
(略称: )
第14著者 氏名(和/英/ヨミ) / /
第14著者 所属(和/英) (略称: )
(略称: )
第15著者 氏名(和/英/ヨミ) / /
第15著者 所属(和/英) (略称: )
(略称: )
講演者
発表日時 2017-03-03 14:50:00 
発表時間 25 
申込先研究会 IA 
資料番号 IEICE-SITE2016-68,IEICE-IA2016-98 
巻番号(vol) IEICE-116 
号番号(no) no.490(SITE), no.491(IA) 
ページ範囲 pp.41-46 
ページ数 IEICE-6 
発行日 IEICE-SITE-2017-02-24,IEICE-IA-2017-02-24 


[研究会発表申込システムのトップページに戻る]

[電子情報通信学会ホームページ]


IEICE / 電子情報通信学会