TCPフィンガープリントによる悪意のある通信の分析

情報処理学会 情報処理学会 Web Site 被引用文献1件

書誌事項

タイトル別名
  • TCP フィンガープリント ニ ヨル アクイ ノ アル ツウシン ノ ブンセキ
  • Analysis of Malicious Traffic Based on TCP Fingerprinting

この論文をさがす

説明

カーネルマルウェアは独自のネットワークドライバを実装し,カーネルモードの通信を行うことで監視ツールからの隠匿を試みる.これらのネットワークドライバは独自の実装であるため,TCPヘッダのパラメータを分析することでカーネルマルウェア発のトラヒックフローを検出することができる.本研究ではこの性質に基づき,カーネルマルウェアの可能性があるTCPフィンガープリントを整理した.そのフィンガープリントを複数の実運用ネットワークに適用し,フルカーネルマルウェアに感染した可能性が高いホストおよびその通信の特徴を分析する.

Modern kernel malwares compose of their own network drivers and use them directly from kernel-mode to conceal their activities from anti-malware tools. Since these network drivers have specific characteristics, we can detect traffic flows originating from those drivers by analyzing some parameters recorded in TCP headers. On the basis of the above characteristics, we apply a fingerprinting technique to collect IP addresses of the hosts that are likely infected with kernel malwares. Using the method, we also aim to understand the characteristics of the hosts infected with kernel malware and their communications using network measurement data collected in several production networks.

収録刊行物

被引用文献 (1)*注記

もっと見る

キーワード

詳細情報 詳細情報について

問題の指摘

ページトップへ