Journal Article エントロピーを特徴として用いた初期潜入段階におけるRATの通信検知

石井, 将大  ,  宇野, 真純  ,  猪俣, 敦夫  ,  新井, イスマイル  ,  藤川, 和利

2018-03-01 , 電子情報通信学会
ISSN:1881-0209
Description
標的型攻撃の検知においては,初期侵入段階から端末制御段階までにRemote Access Trojan/Tool (RAT)の通信を検知することが有用とされている.本研究では初期侵入段階から端末制御段階までの間にRATの通信を検知することを目的とする.そのために,RATの通信検知に関する先行研究において用いられたパケット数やサイズといった特徴に加え,RATが通信を確立した際のC&Cサーバとの通信のパケットから,エントロピーを定義し,新たに特徴として加えた機械学習による検知手法を提案した.本研究で定義するエントロピーは,現状のRATと正常なアプリケーションの通信におけるパケットの偏りを表すものである.提案手法に対してk-分割交差検証を行い,RATと正常なアプリケーションの通信の分類実験を行った結果,ランダムフォレストによる検知において96.4%の高い精度と0.7%の低い誤検知率(偽陽性)が得られ,検知モデルの他の評価指標においても,提案手法が優れていることが分かった.
Full-Text

https://search.ieice.org/bin/summary.php?id=j101-b_3_220

http://library.naist.jp/dspace/xmlui/bitstream/10061/12214/1/j101-b_3_220.pdf

Number of accesses :  

Other information