TCPフィンガープリントによる悪意のある通信の分析 Analysis of Malicious Traffic Based on TCP Fingerprinting

この論文にアクセスする

この論文をさがす

抄録

カーネルマルウェアは独自のネットワークドライバを実装し,カーネルモードの通信を行うことで監視ツールからの隠匿を試みる.これらのネットワークドライバは独自の実装であるため,TCPヘッダのパラメータを分析することでカーネルマルウェア発のトラヒックフローを検出することができる.本研究ではこの性質に基づき,カーネルマルウェアの可能性があるTCPフィンガープリントを整理した.そのフィンガープリントを複数の実運用ネットワークに適用し,フルカーネルマルウェアに感染した可能性が高いホストおよびその通信の特徴を分析する.Modern kernel malwares compose of their own network drivers and use them directly from kernel-mode to conceal their activities from anti-malware tools. Since these network drivers have specific characteristics, we can detect traffic flows originating from those drivers by analyzing some parameters recorded in TCP headers. On the basis of the above characteristics, we apply a fingerprinting technique to collect IP addresses of the hosts that are likely infected with kernel malwares. Using the method, we also aim to understand the characteristics of the hosts infected with kernel malware and their communications using network measurement data collected in several production networks.

収録刊行物

  • 情報処理学会論文誌  

    情報処理学会論文誌 52(6), 2009-2018, 2011-06-15 

    情報処理学会

被引用文献:  1件

被引用文献を見るにはログインが必要です。ユーザIDをお持ちでない方は新規登録してください。

各種コード

  • NII論文ID(NAID)
    110008508029
  • NII書誌ID(NCID)
    AN00116647
  • 本文言語コード
    JPN
  • 資料種別
    Journal Article
  • ISSN
    1882-7764
  • NDL 記事登録ID
    024149441
  • NDL 請求記号
    YH247-743
  • データ提供元
    CJP引用  NDL  IPSJ 
ページトップへ