ネットワークセキュリティにおいて，インシデント発生後の迅速な全容把握は被害の最小化に重要な役割を果たす．全容把握の一材料として，攻撃者やマルウェアなどが実行した悪意のあるリモートコマンドを証跡化することが求められる．我々の従来研究では，リモートコマンド実行時の通信パケットから端末で実行されたコマンドを推定し証跡化する技術を開発した．しかしSMBプロトコル version 3 の普及により通信パケットが暗号化されるようになり，コマンドを証跡化できない問題が生じた．<br>　本論文では，リモートコマンド実行時の暗号化されたSMBを含む通信パケットから，端末で実行されたコマンドを推定する深層学習技術を提案する．本技術はSMBメッセージサイズの系列を入力，コマンド名を出力とする畳み込みニューラルネットワークを基にする．技術の工夫により，従来より効率的な小標本での学習と，コマンド推定根拠の可視化を実現する．実験の結果，97.8%の精度で暗号化通信からのリモートコマンド推定を実現した．

It plays an important role to instantly reveal the scenario of cybersecurity attacks after incidents for mitigating the damage caused by the attacks. Our previously developed forensic tool realizes the tracing of malicious remote commands executed by attackers or malwares by analyzing network packets. Due to the spread of the SMB protocol version3 which has the function of packet encryption, however, the command tracing becomes impossible. This study proposes a remote command fingerprinting approach based on deep learning which enables us to infer executed remote commands even from encrypted packets. Its building block is the convolution neural network, whose inputs and outputs are sequences of SMB message size and command identifiers, respectively. Additionally, our approach makes it possible to efficiently train the network model on small samples and visualize the reason of the inference. Our experiments show that our approach can realize the remote command fingerprinting with the accuracy of 97.8%.