Analysis of Malicious Traffic Based on TCP Fingerprinting

IPSJ IPSJ Web Site 1 Citations

Bibliographic Information

Other Title
  • TCPフィンガープリントによる悪意のある通信の分析
  • TCP フィンガープリント ニ ヨル アクイ ノ アル ツウシン ノ ブンセキ

Search this article

Description

カーネルマルウェアは独自のネットワークドライバを実装し,カーネルモードの通信を行うことで監視ツールからの隠匿を試みる.これらのネットワークドライバは独自の実装であるため,TCPヘッダのパラメータを分析することでカーネルマルウェア発のトラヒックフローを検出することができる.本研究ではこの性質に基づき,カーネルマルウェアの可能性があるTCPフィンガープリントを整理した.そのフィンガープリントを複数の実運用ネットワークに適用し,フルカーネルマルウェアに感染した可能性が高いホストおよびその通信の特徴を分析する.

Modern kernel malwares compose of their own network drivers and use them directly from kernel-mode to conceal their activities from anti-malware tools. Since these network drivers have specific characteristics, we can detect traffic flows originating from those drivers by analyzing some parameters recorded in TCP headers. On the basis of the above characteristics, we apply a fingerprinting technique to collect IP addresses of the hosts that are likely infected with kernel malwares. Using the method, we also aim to understand the characteristics of the hosts infected with kernel malware and their communications using network measurement data collected in several production networks.

Journal

Citations (1)*help

See more

Keywords

Details 詳細情報について

Report a problem

Back to top