(セッション表へ)

マルチメディア,分散,協調とモバイル(DICOMO2009)シンポジウム

セッション 6C  不正アクセス/マルウェア検知 (CSEC)
日時: 2009年7月9日(木) 13:50 - 16:00
部屋: 観海
座長: 村山 優子 (岩手県立大学)

6C-1 (時間: 13:50 - 14:15)
題名ボットネット多段追跡システムにおける最終段階追跡方式の提案と評価
著者*名雲 孝昭 (東京電機大学 工学部), 三原 元 (東京電機大学 大学院工学研究科), 甲斐 俊文 (パナソニック電工株式会社), 佐々木 良一 (東京電機大学 大学院工学研究科)
Pagepp. 1228 - 1233
Keywordボットネット, 踏み台, 指令サーバ, 管理者型探索, アプリケーション偽装
Abstractボットネットによる被害が増大している一方、ボットネットによる攻撃を防止する事は困難である。これまで、ボットネットの対策はボットに感染しているPCの検知だけであった。しかしこの場合、ハーダーまで辿り着く事ができないので、根本的な対策とはなりえなかった。 そこで本論文では、ボットネット多段追跡システムという、三つに分かれた追跡システムの最終段階として、DDoSなどの攻撃を受けてから攻撃者であるハーダーPCを特定する方法を提案する。 また、ボットネット多段追跡システムの有用性を、実際に入手したボットを使って評価する。模擬的にハーダーPC、踏み台PC、C&Cサーバ、ボットPC、被害PCを用意し、ボットPCがDDoS攻撃を起こしてから、ハーダーPCまでたどり着けるかを実験した。 実験の結果、実験環境でC&CサーバからハーダーPCまでを特定する事が確認できた。更に、様々に追跡を回避するようなボットに対しても、感染前から特殊なFWを用いていれば、特殊なFWに登録されている脅威データとボットコードを照合することで、感染の発覚とその原因となるプログラムの特定から追跡が進めることが出来る可能性があることが分かった。

6C-2 (時間: 14:15 - 14:40)
題名ニューラルネットワークを用いた不正アクセス検知 ‐自己組織化マップによるクラスタリング‐
著者*中山 亮介, 納富 一宏 (神奈川工科大学情報工学科), 斎藤 恵一 (東京電機大学先端工学研究所)
Pagepp. 1234 - 1239
Keywordセキュリティ, 侵入検知, 侵入阻止, 不正アクセス, 自己組織化マップ

6C-3 (時間: 14:40 - 15:05)
題名情報セキュリティ対策変更に適応可能なネットワーク監視方式の検討
著者*西村 啓渡, 加藤 弘一, 勅使河原 可海 (創価大学大学院工学研究科)
Pagepp. 1240 - 1250
Keywordリスク分析, ネットワーク監視, ログ, IDS, 情報セキュリティ対策
Abstractネットワークのセキュリティを強固なものとするためには,IDSによりインシデントを過不足なく検出することが重要である.しかし,複雑な環境においては適切な監視箇所と検出ルールの決定は容易ではない.更に,対策が変更された際には,監視箇所や検出ルールを見直す必要がある.加えて,インシデントの要因は多岐にわたるため,検出結果からインシデントかどうかを判断することも困難である.本稿では,対策変更に適応可能なネットワーク監視方式について検討する.本方式では,まず,インシデントに関連する事象と対策,及びそれらの特徴について詳細に分析し,対策実施状況に応じて監視箇所や検出ルールを決定する.そして,事象の連鎖関係を基に相関分析を行い,インシデントを検出する.また,簡単なシミュレーションを通して,本方式がインシデントを過不足なく検出できることを示す.

6C-4 (時間: 15:05 - 15:30)
題名IPトレースバックにおける出国印方式の拡張と評価
著者*村上 真教 (東京電機大学 大学院未来科学研究科), 甲斐 俊文 (東京電機大学 大学院工学研究科), 入江 博 (東京電機大学 未来科学部数学系列), 佐々木 良一 (東京電機大学 大学院工学研究科)
Pagepp. 1251 - 1260
KeywordIPトレースバック, パケット, ルータ, DoS攻撃
Abstract近年,インターネットの普及に伴い不正アクセスによる被害が増加している。そのため、不正アクセスによる被害が今後も深刻な問題となる事が予想できる。 不正アクセスの中でもDoS(Denial of Service)攻撃やDDoS(Distributed DoS)攻撃が脅威になっている。DoS攻撃とは、相手のコンピュータやルータなどに不正なデータを送信して使用不能にさせたり、トラフィックを増大させて相手のネットワークを麻痺させる攻撃のことを言い、DDoS攻撃は複数のネットワークに分散する大量のコンピュータが一斉に特定のサーバーへパケットを送信し、通信路をあふれさせて機能を停止させる攻撃のことを言う。これらの攻撃は発信元IPアドレスが偽造することが可能であり、攻撃元の特定が困難になっている。

6C-5 (時間: 15:30 - 15:55)
題名プロセスの振る舞いに着目したマルウェア検知手法の実装とその評価
著者*福島 祥郎, 境 顕宏 (九州大学大学院システム情報科学府), 堀 良彰, 櫻井 幸一 (九州大学大学院システム情報科学研究院)
Pagepp. 1261 - 1268
Keywordマルウェア検知, マルウェア解析, ビヘイビア法, 動的解析
Abstract近年のマルウェアの発生速度は速く,また自己暗号化・難読化するマルウェアの登場もあって,従来のアンチウィルス技術には限界が見えてきている.現在,その解決手法として,マルウェアの振る舞いに基づいた手法も取り組まれているが,誤検知があるなど完全とはいえない.本論文では,この手法において,マルウェアの振る舞いとして「特定領域へのファイル作成」と「作成ファイルの実行」に着目する.さらに,マルウェアが普通行わない振る舞いとして「アンインストール情報の登録・削除」にも着目する.我々の評価実験では,およそ6割のマルウェアが検知可能で,かつ誤検知はなかった.また,プログラムの振る舞いを監視するモニタリングツールの出力から,提案手法を適用して自動でマルウェアかどうかの検証を行うプログラムの作成を行った.