講演抄録/キーワード |
講演名 |
2017-03-14 11:20
通信コミュニティ分析に基づく標的型攻撃のLAN内侵入拡大の検知 ○長山弘樹・胡 博・小山高明・三好 潤(NTT) ICSS2016-65 |
抄録 |
(和) |
近年,標的型攻撃による被害が拡大しており対策は急務である.標的型攻撃では,攻撃者が感染端末を踏み台とし,長期に渡って企業内システムへの偵察・侵入拡大活動及び機密情報の窃取を行う.特に未知のマルウェアが用いられることが多く初期潜入を100%防ぐことは難しいため,初期潜入の発生を前提として,攻撃者の偵察・侵入拡大活動を早期に検知し感染端末を特定することが重要となる.
既存の技術は,パケットのキャプチャデータやネットワークのフロー情報を前提とするものが多く導入障壁(設定の手間・情報容量等)が大きいことから普及が進んでおらず,そのため比較的取得が容易なARP情報のみを用いて検知を行う手法が複数検討されている.
しかし,ARP情報を用いた既存手法では,高頻度・大量な宛先への通信や,未使用IPへの通信といった通信の量や周期性に特徴を持つ活動を検知できる一方,標的型攻撃に見られる少量通信での活動を検知することは難しい.
そこで本研究では,ARP情報から端末間の通信パターンをグラフとして抽出し,端末間の正常通信パターンをコミュニティとして生成した上で,コミュニティ間の未知通信を異常として検出する手法を提案する.提案方式により,高度な偵察・侵入拡大活動の早期検知の実現を目指す. |
(英) |
Recently the countermeasures against continuously increasing Advanced Persistent Threats(APT) are urgently necessary.
In APT, the attacker remotely controls the infected enterprise host and operate stealthily for network reconnaissance, further intrusion on others and data exfiltration.
It is difficult to prevent APT during initial intrusion phase because attackers usually apply unknown malwares. Therefore, it is important to detect attackers' reconnaissance activities and specify infected hosts in early stage accepting the possibility of initial intrusion.
Most of conventional techniques for APT detection require data from packet capture and network flow, and not reliable enough due to setup operation cost, huge traffic volume and so on.
Therefore, we focus on ARP request traffic which can be obtained more easily and has small traffic volume.
Conventional methods using ARP traffic only can detect reconnaissance activities that have distinctive features such as connecting to
a large number of destinations, to a destination with high frequency or to a unused IP address.
However, in the case of APT, due to stealthy operation of the attacker, it is difficult to extract required features for applying those method.
In our research, we propose an anomaly detection method which 1) represents observed communication between hosts as a graph by using ARP request traffic, 2) extracts normal pattern between different hosts as a set of sub-graphs, 3) and detect unknown traffic across different sub-graphs as anomaly pattern.
The proposed method realizes detection of reconnaissance activities of APT in early stage. |
キーワード |
(和) |
標的型攻撃 / 偵察・侵入拡大活動検知 / ARP / グラフマイニング / 異常検知 / / / |
(英) |
advanced persistent threat / reconnaissance activities / ARP / graph mining / anomaly detection / / / |
文献情報 |
信学技報, vol. 116, no. 522, ICSS2016-65, pp. 153-158, 2017年3月. |
資料番号 |
ICSS2016-65 |
発行日 |
2017-03-06 (ICSS) |
ISSN |
Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
ICSS2016-65 |