サンドボックス解析結果に基づくURLブラックリスト生成についての一検討
書誌事項
- タイトル別名
-
- A Study on Light-Weight URL Blacklist Generation Based on Sandbox Analysis
説明
マルウェア感染後の早期検知手法としては、システムログや通信トラフィックによる異常検知があるが、本稿では企業等におけるインターネット通信の代表例であるHTTP通信に着目し、出口対策としてのURLブラックリスト生成方式を提案する。サンドボックス解析結果から得られるマルウェアの通信先URLを用いるが、正常通信によるURLと区別が難しいものもあり、有効な手法としてテイント解析の研究が進んでいる。しかしながら、解析コストなどの課題もあるため、サンドボックス解析結果をもとにシステム情報やユーザ情報の読み取りを条件とした簡易なURLブラックリスト生成方式について、事例を示すとともに課題を考察する。
To detect the malware infection in internal network, not only anomaly detection but URL blacklist is also effective method that is focusing on HTTP traffic as typical example of the Internet traffic in organizations. Although URL blacklist can be extracted from the result of the malware analysis by sandbox, some URL are difficult to distinguish them from normal traffic such as checking the Internet reachability to major site. Taint analysis can be effective approach for identifying the malicious URL such as C&C or information leakage, but faces some technical challenges. In this paper, we present a novel approach of URL blacklist generation based on whether the malware read the system information or user credentials or not. We analyze and discuss the cases of our light-weight approach.
収録刊行物
-
- コンピュータセキュリティシンポジウム2013論文集
-
コンピュータセキュリティシンポジウム2013論文集 2013 (4), 382-387, 2013-10-14
情報処理学会
- Tweet
詳細情報 詳細情報について
-
- CRID
- 1050292572154334848
-
- NII論文ID
- 170000080789
-
- 本文言語コード
- ja
-
- 資料種別
- conference paper
-
- データソース種別
-
- IRDB
- CiNii Articles