お知らせ 2023年度・2024年度 学生員 会費割引キャンペーン実施中です
お知らせ 技術研究報告と和文論文誌Cの同時投稿施策(掲載料1割引き)について
お知らせ 電子情報通信学会における研究会開催について
お知らせ NEW 参加費の返金について
電子情報通信学会 研究会発表申込システム
講演論文 詳細
技報閲覧サービス
[ログイン]
技報アーカイブ
 トップに戻る 前のページに戻る   [Japanese] / [English] 

講演抄録/キーワード
講演名 2017-03-14 11:20
通信コミュニティ分析に基づく標的型攻撃のLAN内侵入拡大の検知
長山弘樹胡 博小山高明三好 潤NTTICSS2016-65
抄録 (和) 近年,標的型攻撃による被害が拡大しており対策は急務である.標的型攻撃では,攻撃者が感染端末を踏み台とし,長期に渡って企業内システムへの偵察・侵入拡大活動及び機密情報の窃取を行う.特に未知のマルウェアが用いられることが多く初期潜入を100%防ぐことは難しいため,初期潜入の発生を前提として,攻撃者の偵察・侵入拡大活動を早期に検知し感染端末を特定することが重要となる.
既存の技術は,パケットのキャプチャデータやネットワークのフロー情報を前提とするものが多く導入障壁(設定の手間・情報容量等)が大きいことから普及が進んでおらず,そのため比較的取得が容易なARP情報のみを用いて検知を行う手法が複数検討されている.
しかし,ARP情報を用いた既存手法では,高頻度・大量な宛先への通信や,未使用IPへの通信といった通信の量や周期性に特徴を持つ活動を検知できる一方,標的型攻撃に見られる少量通信での活動を検知することは難しい.
そこで本研究では,ARP情報から端末間の通信パターンをグラフとして抽出し,端末間の正常通信パターンをコミュニティとして生成した上で,コミュニティ間の未知通信を異常として検出する手法を提案する.提案方式により,高度な偵察・侵入拡大活動の早期検知の実現を目指す. 
(英) Recently the countermeasures against continuously increasing Advanced Persistent Threats(APT) are urgently necessary.
In APT, the attacker remotely controls the infected enterprise host and operate stealthily for network reconnaissance, further intrusion on others and data exfiltration.
It is difficult to prevent APT during initial intrusion phase because attackers usually apply unknown malwares. Therefore, it is important to detect attackers' reconnaissance activities and specify infected hosts in early stage accepting the possibility of initial intrusion.
Most of conventional techniques for APT detection require data from packet capture and network flow, and not reliable enough due to setup operation cost, huge traffic volume and so on.
Therefore, we focus on ARP request traffic which can be obtained more easily and has small traffic volume.
Conventional methods using ARP traffic only can detect reconnaissance activities that have distinctive features such as connecting to
a large number of destinations, to a destination with high frequency or to a unused IP address.
However, in the case of APT, due to stealthy operation of the attacker, it is difficult to extract required features for applying those method.
In our research, we propose an anomaly detection method which 1) represents observed communication between hosts as a graph by using ARP request traffic, 2) extracts normal pattern between different hosts as a set of sub-graphs, 3) and detect unknown traffic across different sub-graphs as anomaly pattern.
The proposed method realizes detection of reconnaissance activities of APT in early stage.
キーワード (和) 標的型攻撃 / 偵察・侵入拡大活動検知 / ARP / グラフマイニング / 異常検知 / / /  
(英) advanced persistent threat / reconnaissance activities / ARP / graph mining / anomaly detection / / /  
文献情報 信学技報, vol. 116, no. 522, ICSS2016-65, pp. 153-158, 2017年3月.
資料番号 ICSS2016-65 
発行日 2017-03-06 (ICSS) 
ISSN Print edition: ISSN 0913-5685    Online edition: ISSN 2432-6380
著作権に
ついて
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034)
PDFダウンロード ICSS2016-65

研究会情報
研究会 ICSS IPSJ-SPT  
開催期間 2017-03-13 - 2017-03-14 
開催地(和) 長崎県立大学シーボルト校 
開催地(英) University of Nagasaki 
テーマ(和) 情報通信システムセキュリティ,一般 
テーマ(英) System Security, etc. 
講演論文情報の詳細
申込み研究会 ICSS 
会議コード 2017-03-ICSS-SPT 
本文の言語 日本語 
タイトル(和) 通信コミュニティ分析に基づく標的型攻撃のLAN内侵入拡大の検知 
サブタイトル(和)  
タイトル(英) Graph based Detection of Advanced Persistent Threat on LAN 
サブタイトル(英)  
キーワード(1)(和/英) 標的型攻撃 / advanced persistent threat  
キーワード(2)(和/英) 偵察・侵入拡大活動検知 / reconnaissance activities  
キーワード(3)(和/英) ARP / ARP  
キーワード(4)(和/英) グラフマイニング / graph mining  
キーワード(5)(和/英) 異常検知 / anomaly detection  
キーワード(6)(和/英) /  
キーワード(7)(和/英) /  
キーワード(8)(和/英) /  
第1著者 氏名(和/英/ヨミ) 長山 弘樹 / Hiroki Nagayama / ナガヤマ ヒロキ
第1著者 所属(和/英) 日本電信電話株式会社 (略称: NTT)
NIPPON TELEGRAPH AND TELEPHONE CORPORATION (略称: NTT)
第2著者 氏名(和/英/ヨミ) 胡 博 / Bo Hu / コ ハク
第2著者 所属(和/英) 日本電信電話株式会社 (略称: NTT)
NIPPON TELEGRAPH AND TELEPHONE CORPORATION (略称: NTT)
第3著者 氏名(和/英/ヨミ) 小山 高明 / Takaaki Koyama / コヤマ タカアキ
第3著者 所属(和/英) 日本電信電話株式会社 (略称: NTT)
NIPPON TELEGRAPH AND TELEPHONE CORPORATION (略称: NTT)
第4著者 氏名(和/英/ヨミ) 三好 潤 / Jun Miyoshi / ミヨシ ジュン
第4著者 所属(和/英) 日本電信電話株式会社 (略称: NTT)
NIPPON TELEGRAPH AND TELEPHONE CORPORATION (略称: NTT)
第5著者 氏名(和/英/ヨミ) / /
第5著者 所属(和/英) (略称: )
(略称: )
第6著者 氏名(和/英/ヨミ) / /
第6著者 所属(和/英) (略称: )
(略称: )
第7著者 氏名(和/英/ヨミ) / /
第7著者 所属(和/英) (略称: )
(略称: )
第8著者 氏名(和/英/ヨミ) / /
第8著者 所属(和/英) (略称: )
(略称: )
第9著者 氏名(和/英/ヨミ) / /
第9著者 所属(和/英) (略称: )
(略称: )
第10著者 氏名(和/英/ヨミ) / /
第10著者 所属(和/英) (略称: )
(略称: )
第11著者 氏名(和/英/ヨミ) / /
第11著者 所属(和/英) (略称: )
(略称: )
第12著者 氏名(和/英/ヨミ) / /
第12著者 所属(和/英) (略称: )
(略称: )
第13著者 氏名(和/英/ヨミ) / /
第13著者 所属(和/英) (略称: )
(略称: )
第14著者 氏名(和/英/ヨミ) / /
第14著者 所属(和/英) (略称: )
(略称: )
第15著者 氏名(和/英/ヨミ) / /
第15著者 所属(和/英) (略称: )
(略称: )
第16著者 氏名(和/英/ヨミ) / /
第16著者 所属(和/英) (略称: )
(略称: )
第17著者 氏名(和/英/ヨミ) / /
第17著者 所属(和/英) (略称: )
(略称: )
第18著者 氏名(和/英/ヨミ) / /
第18著者 所属(和/英) (略称: )
(略称: )
第19著者 氏名(和/英/ヨミ) / /
第19著者 所属(和/英) (略称: )
(略称: )
第20著者 氏名(和/英/ヨミ) / /
第20著者 所属(和/英) (略称: )
(略称: )
講演者 第1著者 
発表日時 2017-03-14 11:20:00 
発表時間 25分 
申込先研究会 ICSS 
資料番号 ICSS2016-65 
巻番号(vol) vol.116 
号番号(no) no.522 
ページ範囲 pp.153-158 
ページ数
発行日 2017-03-06 (ICSS) 


[研究会発表申込システムのトップページに戻る]

[電子情報通信学会ホームページ]


IEICE / 電子情報通信学会