| 題名 | CoPS : 無線アドホックネットワークにおけるノード協調型攻撃防御機構 |
| 著者 | *星 北斗 (慶應義塾大学 総合政策学部), 森 雅智, 金澤 貴俊, 斉藤 匡人, 間 博人 (慶應義塾大学大学院 政策・メディア研究科), 徳田 英幸 (慶應義塾大学 環境情報学部) |
| Page | pp. 463 - 469 |
| Keyword | モバイルアドホックネットワーク, セキュリティ, 侵入防御, 協調制御, IEEE 802.11 |
| Abstract | 近年,無線アドホックネットワークを利用できる機器が増加しており,今後さらに利用が普及すると考えられる. 既存のネットワークにおいて,ネットワークや各ノードへの攻撃を防ぐために IDS や IPS が利用されてきた. しかし,無線アドホックネットワークにおいては,ネットワークの性質や利用されるノード性能の問題があり,これらをそのまま適用することは難しい. 本論文では,無線アドホックネットワークにおいて,攻撃を行う不正なノードをノードの協調動作によりネットワークから切り離す機構として CoPS (Cooperative Attacker Prevention System) を提案する. 本論文において,通信を切断するためのモジュールをプロトタイプとして実装し,評価を行った. |
| 題名 | 効果的なボットネット追跡のための統計調査と方針検討 |
| 著者 | *甲斐 俊文 (パナソニック電工), 佐々木 良一 (東京電機大学) |
| Page | pp. 470 - 476 |
| Keyword | ボットネット, トレースバック |
| Abstract | ボットネットの被害が増大してきており,ボットマスター(ハーダ)まで追跡することが重要な課題となっている.通信経路はボットネットによって異なるが,経路上に防弾業者や一般ユーザの端末がある場合には追跡は困難になる.我々は防弾業者や一般ユーザの端末を使用しているボットネットの割合を統計的に調査し,ユーザ端末を使用しているボットネットの割合は1割から3割程度,防弾業者サーバ端末については少なくとも2割以上,専門のサーバ管理者に管理されている端末は4割から5割程度と見積もられることを示してきた.本稿では新たに国別の傾向について調査した結果を示す.また,これらの調査に基づき,ボットネット追跡の方針として,追跡の協力が得やすくボットネットでの使用割合も高い専門のサーバ管理者の端末を対象としてボットネット追跡の研究開発や普及策を講じることが効果的であることを示す. |
| 題名 | 静的解析によるマルウェアの分類と結果の検討 |
| 著者 | *岩本 一樹 (日本コンピュータセキュリティリサーチ), 和崎 克己 (信州大学工学部情報工学科) |
| Page | pp. 477 - 491 |
| Keyword | マルウェア, 静的解析, 特徴抽出, クラスタ解析, アンチウイルス |
| Abstract | 本研究では,静的解析によるAPI推移(あるAPIが呼ばれた後に呼ばれるAPIの組)を用いたマルウェアの分類方法を提案する.提案する方法は4つの段階に分かれる.初めにマルウェアの検体の圧縮・暗号を復号し,次に検体を逆アセンブルする.その後,逆アセンブルリストに対して制御フロー解析を行う.最後に,制御フローグラフからAPI推移を取得して検体を比較する.比較のために本研究ではマルウェアの検体間の距離(不一致度)を定義し検体を比較した.階層型クラスタ分析を行い検体間の関係を可視化した.またアンチウイスル製品による名前と本研究による結果を比較した. |
| 題名 | 低レート攻撃トラフィック検出に関する検討 |
| 著者 | *福島 祥郎 (九州大学大学院システム情報科学府), 堀 良彰, 櫻井 幸一 (九州大学大学院システム情報科学研究院) |
| Page | pp. 492 - 500 |
| Keyword | インシデント検知, ダークネット観測, ボットネット, 低レート攻撃, マルウェア |
| Abstract | マルウェアによるネットワーク上の脅威(ネットワークインシデント)を早期に検知し対策を取るためには,ネットワーク観測が重要である.インターネット上のトラフィックを観測しその特徴を分析することで,マルウェアの感染活動の傾向を把握し,それをインシデント検知に役立てることができる.ネットワーク観測には通常,インターネット上で未使用のIPアドレス群であるダークネットを用いる.ダークネットで観測されるパケットは,設定ミスによるものを除けば全て不正なものとみなせるため,マルウェアの感染活動の傾向把握に有効である.従来は,インシデント検知のために時系列上の急激な値の変化に着目した手法が取られていた.しかし,近年のマルウェアの攻撃は低レート化が進み,従来の手法では検知が難しい.そこで本研究では,低レート攻撃の検知とその特徴分析を目的として,低レート攻撃の特徴に基づいてトラフィックの分類を行い,低レート攻撃に起因しないトラフィックを除外することで,その検知を行う手法を提案する.ダークネットトラフィックを用いた実験により,関連性が高く協調性のある低レート攻撃群を検知することが可能であった. |
| 題名 | データ送信間隔に基づくボット検知手法の提案ならびに実装と評価 |
| 著者 | *溝口 誠一郎, 釘崎 裕司, 笠原 義晃, 堀 良彰, 櫻井 幸一 (九州大学) |
| Page | pp. 501 - 507 |
| Keyword | マルウェア検知, IRCボット, 通信間隔, 累積分布, クラスタリング |
| Abstract | マルウェアの一種であるボットは,分散サービス不能攻撃,スパムメールの配信,フィッシングサイトなど,インターネット上の脅威の元となっている.そのため,組織のネットワーク上に存在するボットをいち早く検知し,ボットを駆除するといった対策をとることが急務となっている.ボット検知手法として,ネットワークトラフィックを観測しペイロードを分析することによってボットを発見する手法が提案されてきたが,多数のクライアントを所持する組織では,すべてのペイロードを検査することは難しく,プライバシーの観点からも好ましくない.本研究では,人間の挙動とボットの挙動を区別することでボット検知を行う手法を提案する.人間が操作するクライアントとボットのデータ送信間隔に着目し,ボットの機械的な特徴をクラスタリングを用いて検出する.本稿では,提案するボット検知手法の実装と評価を行った. |