| 講演名 | 2016-03-04 プロセスの出現頻度や通信状態に着目した不審プロセス判定 中里 純二(NICT), 津田 侑(NICT), 衛藤 将史(NICT), 井上 大介(NICT), 中尾 康二(NICT), |
|---|---|
| PDFダウンロードページ |  PDFダウンロードページへ |
| 抄録(和) | 標的型攻撃による重大なセキュリティインシデントが多く発生している.標的型攻撃で利用されるマルウェアは,アンチウイルスソフトウェアなどで検知する事が難しく,感染が発見されるまで長期間に渡り索敵などの情報収集や攻撃活動を行なう.そこで,本研究では普段利用されることのない不審なプロセスの動作をいち早く見つけ出す手法の提案を行なう.各ホスト内部で動作するプロセスリストを定期的に取得し,特定のユーザのみが利用する不審な通信を伴ったプロセスの抽出を行なう.同一プロセスが動作するホストの数や頻度,さらにネットワーク状態からプロセス毎に特徴量を算出し,各プロセスの不審度を決定する.プロセスの動作頻度や動作ホスト数のみでは,ユーザ環境に依存して動作するプロセスを誤検知する恐れがあるため,ネットワーク状態(通信先など)を監視する事で通常通信以外の不審な通信(C&CやRAT通信など)を行なうプロセスをいち早く検知する事が可能になる. |
| 抄録(英) | Many serious security incidents caused by the targeted attacks have been occurred. The targeted attacks can not be prevented easily, because a malware that is used in the attack is difficult to detect by antivirus software. Consequently, the malware has been active for a long term in order to access important user, service, and specific system in a targeted organization. In this paper we proposed a new suspicious process detection scheme. The proposed scheme decides suspicious degree of a process by calculating feature value constructed with process frequency and number of user who executing the same process. Moreover, we use the network conditions, such as communication of a process in order to reduce a false positive. |
| キーワード(和) | 標的型攻撃 / マルウェア検出 / プロセス出現頻度 |
| キーワード(英) | targeted attack / malware detection / process frequency |
| 資料番号 | ICSS2015-60 |
| 発行日 | 2016-02-25 (ICSS) |
| 研究会情報 | |
| 研究会 | ICSS / IPSJ-SPT |
|---|---|
| 開催期間 | 2016/3/3(から2日開催) |
| 開催地(和) | 京都大学 学術情報メディアセンター 南館 |
| 開催地(英) | Academic Center for Computing and Media Studies, Kyoto University |
| テーマ(和) | 情報通信システムセキュリティ、一般 |
| テーマ(英) | Information and Communication System Security, etc. |
| 委員長氏名(和) | 三宅 優(KDDI研) |
| 委員長氏名(英) | Yutaka Miyake(KDDI R&D Labs.) |
| 副委員長氏名(和) | 西出 隆志(筑波大) / 白石 善明(神戸大) |
| 副委員長氏名(英) | Takashi Nishide(Univ. of Tsukuba) / Yoshiaki Shiraishi(Kobe Univ.) |
| 幹事氏名(和) | 植田 武(三菱電機) / 高倉 弘喜(NII) |
| 幹事氏名(英) | Takeshi Ueda(Mitsubishi Electric) / Hiroki Takakura(NII) |
| 幹事補佐氏名(和) | 吉岡 克成(横浜国大) / 神谷 和憲(NTT) |
| 幹事補佐氏名(英) | Katsunari Yoshioka(Yokohama National Univ.) / Kazunori Kamiya(NTT) |
| 講演論文情報詳細 | |
| 申込み研究会 | Technical Committee on Information and Communication System Security / Special Interest Group on Security Psychology and Trust |
|---|---|
| 本文の言語 | JPN |
| タイトル(和) | プロセスの出現頻度や通信状態に着目した不審プロセス判定 |
| サブタイトル(和) | |
| タイトル(英) | A Suspicious Processes Detection Scheme using Process Frequency and Network State |
| サブタイトル(和) | |
| キーワード(1)(和/英) | 標的型攻撃 / targeted attack |
| キーワード(2)(和/英) | マルウェア検出 / malware detection |
| キーワード(3)(和/英) | プロセス出現頻度 / process frequency |
| 第 1 著者 氏名(和/英) | 中里 純二 / Junji Nakazato |
| 第 1 著者 所属(和/英) | 国立研究開発法人情報通信研究機構(略称:NICT) Institute of Information and Communications Technology(略称:NICT) |
| 第 2 著者 氏名(和/英) | 津田 侑 / Yu Tsuda |
| 第 2 著者 所属(和/英) | 国立研究開発法人情報通信研究機構(略称:NICT) Institute of Information and Communications Technology(略称:NICT) |
| 第 3 著者 氏名(和/英) | 衛藤 将史 / Eto Masashi |
| 第 3 著者 所属(和/英) | 国立研究開発法人情報通信研究機構(略称:NICT) Institute of Information and Communications Technology(略称:NICT) |
| 第 4 著者 氏名(和/英) | 井上 大介 / Daisuke Inoue |
| 第 4 著者 所属(和/英) | 国立研究開発法人情報通信研究機構(略称:NICT) Institute of Information and Communications Technology(略称:NICT) |
| 第 5 著者 氏名(和/英) | 中尾 康二 / Koji Nakao |
| 第 5 著者 所属(和/英) | 国立研究開発法人情報通信研究機構(略称:NICT) Institute of Information and Communications Technology(略称:NICT) |
| 発表年月日 | 2016-03-04 |
| 資料番号 | ICSS2015-60 |
| 巻番号(vol) | vol.115 |
| 号番号(no) | ICSS-488 |
| ページ範囲 | pp.77-82(ICSS), |
| ページ数 | 6 |
| 発行日 | 2016-02-25 (ICSS) |