この論文をさがす
抄録
本稿では,アドレススキャンのかわりに感染端末内のTCP接続情報(TCP Connection Table,TCT)を悪用して組織内ネットワークに拡散するTCTマルウェアに対する特性評価および拡散抑止方式を検討する.まず,1万台以上の端末の通信ログが含まれる公開データセットを用いたシミュレーションにより,TCTマルウェアの拡散速度は数十scan/sのアドレススキャン型マルウェアに相当し,組織内ダークネット監視や異常検知などの従来方式では早期発見が難しいことを明らかにした.さらに,TCTに偽の接続情報を挿入することでTCTマルウェアの拡散を早期検知・抑制する方式を設計・実装した.シミュレーションおよび実際のTCTマルウェアNotPetyaを用いた評価実験を通じ,本方式により拡散台数を数分の1に抑えられることを確認した.
In this paper, we study characteristics of malware which propagates over enterprise networks by abusing TCP Connection Table (TCT) retrieved from compromised hosts instead of IP address scans, and design a countermeasure method. First, through simulations with open dataset including connection logs from more than 10,000 hosts, we found that the propagation speed of TCT malware is comparable to IP address scan malware with a rate of tens scan/s and traditional approaches such as darknet monitoring and anomaly detections are ineffective against the propagation. Thus, second, we design and implement a detection and containment method that inserts a few decoy connections into TCT of each host. Through simulations and a real TCT malware NotPetya, we confirmed that the proposed method can reduce the number of compromised hosts to a few percent.
収録刊行物
-
- 情報処理学会論文誌
-
情報処理学会論文誌 61 (9), 1428-1443, 2020-09-15
[出版社不明]
- Tweet
詳細情報 詳細情報について
-
- CRID
- 1390009224873542400
-
- NII論文ID
- 170000183370
-
- NII書誌ID
- AN00116647
-
- ISSN
- 18827764
-
- Web Site
- http://id.nii.ac.jp/1001/00206791/
-
- 本文言語コード
- ja
-
- データソース種別
-
- JaLC
- IRDB
- CiNii Articles