イベントログとネットワークパケットの時系列情報を組み合わせたIDSの構築
書誌事項
- タイトル別名
-
- Intrusion Detection System Focused on Time Series Information of Event Logs and Network Packets
説明
近年頻繁に観測される標的型攻撃は,組織内ネットワークに侵入するために入念な調査を行い,侵入可能な方法を探し出し,通常の通信に紛れて侵入する.そのため,マルウェアの侵入を検知することが困難であり,マルウェア感染後の活動を検知する手法の重要性が高まっている.標的型攻撃のマルウェアに感染すると,ホスト上で C2 サーバと通信するためのプロセスが定期的に実行される.そのため,プロセス名の時系列情報に特徴が表れると考えられる.また感染後の端末は,C2 サーバと定期的に同じ内容の通信を行うため,定期的にサイズ等が一定のパケットが観測されると考えられる.そこで本研究では,プロセス名だけでなく,パケットの時系列情報にも着目することで高精度に標的型攻撃を検出する手法を提案する.まず,イベントログからホスト毎に実行されるプロセスのプロセス名等を抽出し,更にネットワーク上のパケットのヘッダからパケットサイズ等の特徴を抽出し,Doc2Vec でベクトル表現する.その後,抽出したベクトルを LSTM で学習することで不審な通信を検知する.MWS データセットを対象に実験を実施し提案手法の有効性を確認した.
APT (Advanced Persistent Threats) have been observed frequently, attackers find ways to penetrate a network. They infiltrate the organization network through normal communication. Thus, methods for detecting activities after malware infection are becoming important. Since on the infected host with malware, a process for communicating with the C2 server is periodically executed, we focus on the time-series information of process names. In addition, because the infected host periodically communicates with the C2 server in fixed formats, it is expected that the packet size will be observed periodically. In this paper, we propose a method to detect APT by focusing on the time-series information of process names and these packets. First, we extract the process name from the event log, and packet size and other characteristic from the packet headers. We express them as vectors using Doc2Vec. Then, the vectors are trained by LSTM to detect APT.
収録刊行物
-
- コンピュータセキュリティシンポジウム2021論文集
-
コンピュータセキュリティシンポジウム2021論文集 559-566, 2021-10-19
情報処理学会
- Tweet
詳細情報 詳細情報について
-
- CRID
- 1050574047087343744
-
- NII論文ID
- 170000186040
-
- 本文言語コード
- ja
-
- 資料種別
- conference paper
-
- データソース種別
-
- IRDB
- CiNii Articles
