Proposal and Evaluation of Method for Detecting C&C Server Using Unobserved Information by Attackers

IPSJ

Bibliographic Information

Other Title
  • 攻撃者に察知されにくい情報を用いたC&Cサーバの検知手法の提案と評価

Search this article

Description

近年,標的型攻撃による被害が問題になっている.標的型攻撃では,特定の企業や組織にマルウェアを感染させた後にC&Cサーバとの間で様々な通信を行い,情報を接収する.マルウェアを感染させる手口は年々巧妙化しており,マルウェアの感染を防ぐための対策だけでは不十分である.そのため,次善の対策としてC&Cサーバの通信を検知することがあげられる.しかし,C&Cサーバを検知する従来手法では,解析する過程で攻撃者に解析していることを知られてしまう危険性がある.そこで,本研究では攻撃者に解析されていることを知られずに解析する手法を提案する.本手法では,攻撃者に知られない情報としてドメインのWHOISと検索エンジンから得られた特徴と教師あり機械学習を用いてC&Cサーバの判別を行う.提案手法に実データを適用し交差検証法でC&Cサーバの判別を行った結果,約98.9%と比較的高い検知率を得ることができ,有効性の見通しを得ることができたので報告する.

Damages caused by targeted attacks are a serious problem. It is not enough to prevent only the initial infections, because techniques for targeted attacks have become more sophisticated every year, especially those seeking to illegally acquire confidential information. In a targeted attack, various communications are performed between the command and control server (C&C server) and the local area network (LAN), including the terminal infected with malware. It is possible to find the infected terminal by monitoring the communications with the C&C server although the attackers may notice it. In this study, we propose a method for identifying the C&C server by using the feature points obtained from WHOIS and the Google Search of C&C servers' domains, which are unobserved information by attackers, for supervised machine learning. Moreover, we conduct an experiment that applies real data, and we verify the usefulness of our method by a cross-validation method. As a result of the experiment, we could obtain a high detection rate of about 98.9%.

Journal

Keywords

Details 詳細情報について

Report a problem

Back to top