MF研究者総覧

教員活動データベース

機械学習を用いたセッション分類によるC& Cトラフィック抽出

発表形態:
一般講演(学術講演を含む)
主要業績:
その他
単著・共著:
共著
発表年月:
2014年01月
DOI:
会議属性:
国内会議
査読:
無し
リンク情報:

日本語フィールド

著者:
山内 一将, 川本 淳平, 堀 良彰, 櫻井 幸一
題名:
機械学習を用いたセッション分類によるC& Cトラフィック抽出
発表情報:
2014年暗号と情報セキュリティシンポジウム (SCIS 2014), 4C1-5, 8 pages ページ: 1-8
キーワード:
ボットネット,HTTP 通信,機械学習
概要:
インターネットの普及に伴い,マルウェアへの感染被害の増加が,世界中で深刻な問題となっている.その中でも,遠隔により操作されるマルウェアを使った,ボットネットによる被害が顕著である.ボットネットが脅威となる原因の一つに,Command and Control(C& C)サーバを利用することが挙げられる.C& Cサーバは踏み台となるコンピュータであるボットの制御や,命令を行なう.これにより,同時に多数のコンピュータから攻撃させることや,ハーダーの特定を困難にすることを可能にする.C& Cサーバに利用されるプロトコルとして,主にInternet Relay Chat(IRC)や,HTTPなどがある.従来のボットネットは,IRCサーバを利用したものが主流であったが,近年HTTPを利用したボットネットが増えており,対策をより困難にしている.本研究では,ボットネットの中でもHTTP型ボットネットに焦点を置く.そのために,C& Cサーバとボットの通信特性の調査を行い,それを基にセッション分類によるC& Cトラフィック抽出を行なう.具体的には,トラフィック観測により得られたデータをセッション毎に解析し,通常のHTTPセッションとC& Cセッションの分類を行なう.HTTP型ボットネットでは,ボットが外部サーバに攻撃を仕掛けるための命令を得るために,C& Cサーバへアクセスを行なう.そこで,セッション解析において,このアクセス挙動の特性を考慮した特徴ベクトルを定義する.また,このシステムによるセッション分類を行なうために,機械学習として,Support Vector Machine(SVM),ナイーブベイズ法,ロジスティック回帰を用いた場合のそれぞれの分類精度の評価を行なう.
抄録:
インターネットの普及に伴い,マルウェアへの感染被害の増加が,世界中で深刻な問題となっている.その中でも,遠隔により操作されるマルウェアを使った,ボットネットによる被害が顕著である.ボットネットが脅威となる原因の一つに,Command and Control(C& C)サーバを利用することが挙げられる.C& Cサーバは踏み台となるコンピュータであるボットの制御や,命令を行なう.これにより,同時に多数のコンピュータから攻撃させることや,ハーダーの特定を困難にすることを可能にする.C& Cサーバに利用されるプロトコルとして,主にInternet Relay Chat(IRC)や,HTTPなどがある.従来のボットネットは,IRCサーバを利用したものが主流であったが,近年HTTPを利用したボットネットが増えており,対策をより困難にしている.本研究では,ボットネットの中でもHTTP型ボットネットに焦点を置く.そのために,C& Cサーバとボットの通信特性の調査を行い,それを基にセッション分類によるC& Cトラフィック抽出を行なう.具体的には,トラフィック観測により得られたデータをセッション毎に解析し,通常のHTTPセッションとC& Cセッションの分類を行なう.HTTP型ボットネットでは,ボットが外部サーバに攻撃を仕掛けるための命令を得るために,C& Cサーバへアクセスを行なう.そこで,セッション解析において,このアクセス挙動の特性を考慮した特徴ベクトルを定義する.また,このシステムによるセッション分類を行なうために,機械学習として,Support Vector Machine(SVM),ナイーブベイズ法,ロジスティック回帰を用いた場合のそれぞれの分類精度の評価を行なう.

英語フィールド

Author:
Kazumasa Yamauchi, Junpei Kawamoto, Yoshiaki Hori, Kouichi Sakurai
Title:
Extracting C& C Traffic by Session Classification Using Machine Learning
Announcement information:
The 31st Symposium on Cryptography and Information Security (SCIS 2014), 4C1-5, 8 pages Page: 1-8
Keyword:
botnet, HTTP communication, machine learning


Copyright © MEDIA FUSION Co.,Ltd. All rights reserved.