| 講演名 | 2017-03-14 通信コミュニティ分析に基づく標的型攻撃のLAN内侵入拡大の検知 長山 弘樹(NTT), 胡 博(NTT), 小山 高明(NTT), 三好 潤(NTT), |
|---|---|
| PDFダウンロードページ |  PDFダウンロードページへ |
| 抄録(和) | 近年,標的型攻撃による被害が拡大しており対策は急務である.標的型攻撃では,攻撃者が感染端末を踏み台とし,長期に渡って企業内システムへの偵察・侵入拡大活動及び機密情報の窃取を行う.特に未知のマルウェアが用いられることが多く初期潜入を100%防ぐことは難しいため,初期潜入の発生を前提として,攻撃者の偵察・侵入拡大活動を早期に検知し感染端末を特定することが重要となる.既存の技術は,パケットのキャプチャデータやネットワークのフロー情報を前提とするものが多く導入障壁(設定の手間・情報容量等)が大きいことから普及が進んでおらず,そのため比較的取得が容易なARP情報のみを用いて検知を行う手法が複数検討されている.しかし,ARP情報を用いた既存手法では,高頻度・大量な宛先への通信や,未使用IPへの通信といった通信の量や周期性に特徴を持つ活動を検知できる一方,標的型攻撃に見られる少量通信での活動を検知することは難しい.そこで本研究では,ARP情報から端末間の通信パターンをグラフとして抽出し,端末間の正常通信パターンをコミュニティとして生成した上で,コミュニティ間の未知通信を異常として検出する手法を提案する.提案方式により,高度な偵察・侵入拡大活動の早期検知の実現を目指す. |
| 抄録(英) | Recently the countermeasures against continuously increasing Advanced Persistent Threats(APT) are urgently necessary. In APT, the attacker remotely controls the infected enterprise host and operate stealthily for network reconnaissance, further intrusion on others and data exfiltration. It is difficult to prevent APT during initial intrusion phase because attackers usually apply unknown malwares. Therefore, it is important to detect attackers' reconnaissance activities and specify infected hosts in early stage accepting the possibility of initial intrusion. Most of conventional techniques for APT detection require data from packet capture and network flow, and not reliable enough due to setup operation cost, huge traffic volume and so on. Therefore, we focus on ARP request traffic which can be obtained more easily and has small traffic volume. Conventional methods using ARP traffic only can detect reconnaissance activities that have distinctive features such as connecting toa large number of destinations, to a destination with high frequency or to a unused IP address. However, in the case of APT, due to stealthy operation of the attacker, it is difficult to extract required features for applying those method. In our research, we propose an anomaly detection method which 1) represents observed communication between hosts as a graph by using ARP request traffic, 2) extracts normal pattern between different hosts as a set of sub-graphs, 3) and detect unknown traffic across different sub-graphs as anomaly pattern. The proposed method realizes detection of reconnaissance activities of APT in early stage. |
| キーワード(和) | 標的型攻撃 / 偵察・侵入拡大活動検知 / ARP / グラフマイニング / 異常検知 |
| キーワード(英) | advanced persistent threat / reconnaissance activities / ARP / graph mining / anomaly detection |
| 資料番号 | ICSS2016-65 |
| 発行日 | 2017-03-06 (ICSS) |
| 研究会情報 | |
| 研究会 | ICSS / IPSJ-SPT |
|---|---|
| 開催期間 | 2017/3/13(から2日開催) |
| 開催地(和) | 長崎県立大学シーボルト校 |
| 開催地(英) | University of Nagasaki |
| テーマ(和) | 情報通信システムセキュリティ,一般 |
| テーマ(英) | System Security, etc. |
| 委員長氏名(和) | 三宅 優(KDDI研) |
| 委員長氏名(英) | Yutaka Miyake(KDDI R&D Labs.) |
| 副委員長氏名(和) | 白石 善明(神戸大) / 植田 武(三菱電機) |
| 副委員長氏名(英) | Yoshiaki Shiraishi(Kobe Univ.) / Takeshi Ueda(Mitsubishi Electric) |
| 幹事氏名(和) | 高倉 弘喜(NII) / 吉岡 克成(横浜国大) |
| 幹事氏名(英) | Hiroki Takakura(NII) / Katsunari Yoshioka(Yokohama National Univ.) |
| 幹事補佐氏名(和) | 神谷 和憲(NTT) / 笠間 貴弘(NICT) |
| 幹事補佐氏名(英) | Kazunori Kamiya(NTT) / Takahiro Kasama(NICT) |
| 講演論文情報詳細 | |
| 申込み研究会 | Technical Committee on Information and Communication System Security / Special Interest Group on Security Psychology and Trust |
|---|---|
| 本文の言語 | JPN |
| タイトル(和) | 通信コミュニティ分析に基づく標的型攻撃のLAN内侵入拡大の検知 |
| サブタイトル(和) | |
| タイトル(英) | Graph based Detection of Advanced Persistent Threat on LAN |
| サブタイトル(和) | |
| キーワード(1)(和/英) | 標的型攻撃 / advanced persistent threat |
| キーワード(2)(和/英) | 偵察・侵入拡大活動検知 / reconnaissance activities |
| キーワード(3)(和/英) | ARP / ARP |
| キーワード(4)(和/英) | グラフマイニング / graph mining |
| キーワード(5)(和/英) | 異常検知 / anomaly detection |
| 第 1 著者 氏名(和/英) | 長山 弘樹 / Hiroki Nagayama |
| 第 1 著者 所属(和/英) | 日本電信電話株式会社(略称:NTT) NIPPON TELEGRAPH AND TELEPHONE CORPORATION(略称:NTT) |
| 第 2 著者 氏名(和/英) | 胡 博 / Bo Hu |
| 第 2 著者 所属(和/英) | 日本電信電話株式会社(略称:NTT) NIPPON TELEGRAPH AND TELEPHONE CORPORATION(略称:NTT) |
| 第 3 著者 氏名(和/英) | 小山 高明 / Takaaki Koyama |
| 第 3 著者 所属(和/英) | 日本電信電話株式会社(略称:NTT) NIPPON TELEGRAPH AND TELEPHONE CORPORATION(略称:NTT) |
| 第 4 著者 氏名(和/英) | 三好 潤 / Jun Miyoshi |
| 第 4 著者 所属(和/英) | 日本電信電話株式会社(略称:NTT) NIPPON TELEGRAPH AND TELEPHONE CORPORATION(略称:NTT) |
| 発表年月日 | 2017-03-14 |
| 資料番号 | ICSS2016-65 |
| 巻番号(vol) | vol.116 |
| 号番号(no) | ICSS-522 |
| ページ範囲 | pp.153-158(ICSS), |
| ページ数 | 6 |
| 発行日 | 2017-03-06 (ICSS) |