<会議発表論文>
機械学習を用いたセッション分類による C&C トラフィック抽出

作成者
本文言語
発行日
雑誌名
開始ページ
出版タイプ
アクセス権
概要 インターネットの普及に伴い,マルウェアへの感染被害の増加が,世界中で深刻な問題となっている.その中でも,遠隔により操作されるマルウェアを使った,ボットネットによる被害が顕著である.ボットネットが脅威となる原因の一つに,Command and Control(C&C)サーバを利用することが挙げられる.C&C サーバは踏み台となるコンピュータであるボットの制御や,命令を行なう.これにより,同時に多数の...コンピュータから攻撃させることや,ハーダーの特定を困難にすることを可能にする.C&C サーバに利用されるプロトコルとして,主にInternet Relay Chat(IRC)や,HTTP などがある.従来のボットネットは,IRC サーバを利用したものが主流であったが,近年HTTP を利用したボットネットが増えており,対策をより困難にしている.本研究では,ボットネットの中でもHTTP 型ボットネットに焦点を置く.そのために,C&C サーバとボットの通信特性の調査を行い,それを基にセッション分類によるC&C トラフィック抽出を行なう.具体的には,トラフィック観測により得られたデータをセッション毎に解析し,通常のHTTP セッションとC&C セッションの分類を行なう.HTTP 型ボットネットでは,ボットが外部サーバに攻撃を仕掛けるための命令を得るために,C&C サーバへアクセスを行なう.そこで,セッション解析において,このアクセス挙動の特性を考慮した特徴ベクトルを定義する.また,このシステムによるセッション分類を行なうために,機械学習として,Support Vector Machine(SVM),ナイーブベイズ法, ロジスティック回帰を用いた場合のそれぞれの分類精度の評価を行なう.続きを見る

本文情報を非表示

scis2014-yamauchi pdf 824 KB 239  

詳細

レコードID
査読有無
関連情報
主題
登録日 2016.08.02
更新日 2016.09.21