電子情報通信学会 研究会発表申込システム
講演論文 詳細
技報閲覧サービス
[ログイン]
技報アーカイブ
 トップに戻る 前のページに戻る   [Japanese] / [English] 

講演抄録/キーワード
講演名 2018-03-07 13:25
局所的および大域的グラフ構造の特徴を併用したLAN内ステルススキャンの検知
長山弘樹胡 博神谷和憲谷川真樹NTTICSS2017-52
抄録 (和) 近年,未知マルウェアの増加は著しく,マルウェアの侵入を100%防止することは難しいため,マルウェア感染の発生を前提として,LAN内での侵入拡大の起点となるスキャンを早期に検知する技術が重要となる.
マルウェアによるスキャンは,迅速な感染拡大のため高速に実施されるという仮定が置かれることが多く,スキャン検知の既存研究では通信量や通信先数の増加を特徴とした検知技術が提案されてきた.
一方,検知を回避するために低レートで実施されるステルススキャンの手法も複数提唱されており,これらステルススキャンは通信量や通信先数を特徴とした検知手法では検知が困難である.
そこで本研究ではLAN内ステルススキャンを検知するため,正常な通信接続関係から外れたスキャンを通信量に依らず検知する手法を提案する.
具体的には,取得が容易でかつ軽量な情報であるARP通信を用いてホスト間の通信接続関係をグラフとして表し,グラフの局所的および大局的な構造に着目した特徴量を併用するとともに,局所的グラフ特徴量として通信の向きを考慮した
隣接ノードの次数中心性を新たに導入し,正常時とスキャン発生時の通信接続関係を学習させることで,ステルススキャンを検知する手法を提案する.提案方式の評価のため通信先数を特徴とした検知手法との検知精度比較を行い,
提案方式ではFalse Positive Rateが0.5%の際のTrue Positive Rateが26.2%向上することを確認した. 
(英) In recent years, the increase of unknown malware is remarkable and it is difficult to prevent malware infiltration by 100%.
Therefore, considering the occurrence of malware infection as the premise, it is important to create a technology to detect invasive activity such as scan by malware on LAN.
Often the assumption is made that scanning activities are carried out fast, and in the existing research on scan detection,
a detection technique using feature of an increase in traffic volume has been proposed.
Meanwhile, a stealth scan technique implemented at a low rate to avoid detection has also been proposed and these stealth scans are difficult to detect by the conventional detection method.
Therefore, we propose a method to detect stealth scans out of the normal communication connection relation regardless of traffic volume.
Specifically, the communication connection relationship between the hosts is expressed as a graph by using ARP communication which is easy to obtain and is lightweight, and
we combining feature focusing on the local and global structure of the graph, and also newly design the degree centrality of the neighbor nodes considering the direction of communication as the local graph feature.
In the proposed method, stealth scan is detected by learning the communication connection relationship at the time of normal and time of occurrence of scans expressed by these feature.
キーワード (和) グラフマイニング / ARP / ステルススキャン / 異常検知 / / / /  
(英) graph mining / ARP / stealth scan / anomaly detection / / / /  
文献情報 信学技報, vol. 117, no. 481, ICSS2017-52, pp. 7-12, 2018年3月.
資料番号 ICSS2017-52 
発行日 2018-02-28 (ICSS) 
ISSN Print edition: ISSN 0913-5685  Online edition: ISSN 2432-6380
著作権に
ついて
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034)
PDFダウンロード ICSS2017-52

研究会情報
研究会 ICSS IPSJ-SPT  
開催期間 2018-03-07 - 2018-03-08 
開催地(和) 沖縄北部雇用能力開発総合センター 
開催地(英) Okinawa Hokubu Koyou Nouryoku Kaihatsu Sougou Center 
テーマ(和) セキュリティ,トラスト,一般 
テーマ(英) Security, Trust, etc. 
講演論文情報の詳細
申込み研究会 ICSS 
会議コード 2018-03-ICSS-SPT 
本文の言語 日本語 
タイトル(和) 局所的および大域的グラフ構造の特徴を併用したLAN内ステルススキャンの検知 
サブタイトル(和)  
タイトル(英) Combining Local and Global Graph-based Features for Stealth Scan Detection on LAN 
サブタイトル(英)  
キーワード(1)(和/英) グラフマイニング / graph mining  
キーワード(2)(和/英) ARP / ARP  
キーワード(3)(和/英) ステルススキャン / stealth scan  
キーワード(4)(和/英) 異常検知 / anomaly detection  
キーワード(5)(和/英) /  
キーワード(6)(和/英) /  
キーワード(7)(和/英) /  
キーワード(8)(和/英) /  
第1著者 氏名(和/英/ヨミ) 長山 弘樹 / Hiroki Nagayama / ナガヤマ ヒロキ
第1著者 所属(和/英) 日本電信電話株式会社 (略称: NTT)
Nippon Telegraph and Telephone Corporation (略称: NTT)
第2著者 氏名(和/英/ヨミ) 胡 博 / Bo HU / コ ハク
第2著者 所属(和/英) 日本電信電話株式会社 (略称: NTT)
Nippon Telegraph and Telephone Corporation (略称: NTT)
第3著者 氏名(和/英/ヨミ) 神谷 和憲 / Kazunori Kamiya / カミヤ カズノリ
第3著者 所属(和/英) 日本電信電話株式会社 (略称: NTT)
Nippon Telegraph and Telephone Corporation (略称: NTT)
第4著者 氏名(和/英/ヨミ) 谷川 真樹 / Masaki Tanikawa / タニカワ マサキ
第4著者 所属(和/英) 日本電信電話株式会社 (略称: NTT)
Nippon Telegraph and Telephone Corporation (略称: NTT)
第5著者 氏名(和/英/ヨミ) / /
第5著者 所属(和/英) (略称: )
(略称: )
第6著者 氏名(和/英/ヨミ) / /
第6著者 所属(和/英) (略称: )
(略称: )
第7著者 氏名(和/英/ヨミ) / /
第7著者 所属(和/英) (略称: )
(略称: )
第8著者 氏名(和/英/ヨミ) / /
第8著者 所属(和/英) (略称: )
(略称: )
第9著者 氏名(和/英/ヨミ) / /
第9著者 所属(和/英) (略称: )
(略称: )
第10著者 氏名(和/英/ヨミ) / /
第10著者 所属(和/英) (略称: )
(略称: )
第11著者 氏名(和/英/ヨミ) / /
第11著者 所属(和/英) (略称: )
(略称: )
第12著者 氏名(和/英/ヨミ) / /
第12著者 所属(和/英) (略称: )
(略称: )
第13著者 氏名(和/英/ヨミ) / /
第13著者 所属(和/英) (略称: )
(略称: )
第14著者 氏名(和/英/ヨミ) / /
第14著者 所属(和/英) (略称: )
(略称: )
第15著者 氏名(和/英/ヨミ) / /
第15著者 所属(和/英) (略称: )
(略称: )
第16著者 氏名(和/英/ヨミ) / /
第16著者 所属(和/英) (略称: )
(略称: )
第17著者 氏名(和/英/ヨミ) / /
第17著者 所属(和/英) (略称: )
(略称: )
第18著者 氏名(和/英/ヨミ) / /
第18著者 所属(和/英) (略称: )
(略称: )
第19著者 氏名(和/英/ヨミ) / /
第19著者 所属(和/英) (略称: )
(略称: )
第20著者 氏名(和/英/ヨミ) / /
第20著者 所属(和/英) (略称: )
(略称: )
講演者
発表日時 2018-03-07 13:25:00 
発表時間 25 
申込先研究会 ICSS 
資料番号 IEICE-ICSS2017-52 
巻番号(vol) IEICE-117 
号番号(no) no.481 
ページ範囲 pp.7-12 
ページ数 IEICE-6 
発行日 IEICE-ICSS-2018-02-28 


[研究会発表申込システムのトップページに戻る]

[電子情報通信学会ホームページ]


IEICE / 電子情報通信学会