エントロピーを特徴として用いた初期潜入段階におけるRATの通信検知

石井 将大  宇野 真純  猪俣 敦夫  新井 イスマイル  藤川 和利  
(インターネットアーキテクチャ研究専門委員会推薦論文)

誌名
電子情報通信学会論文誌 B   Vol.J101-B   No.3   pp.220-232
発行日: 2018/03/01
Online ISSN: 1881-0209
DOI: 10.14923/transcomj.2017JBT0001
論文種別: 論文
専門分野: 基礎理論
キーワード: 
RAT,  侵入検知,  ネットワークセキュリティ,  機械学習,  

本文: PDF(913.5KB)
>>論文を購入


あらまし: 
標的型攻撃の検知においては,初期侵入段階から端末制御段階までにRemote Access Trojan/Tool (RAT)の通信を検知することが有用とされている.本研究では初期侵入段階から端末制御段階までの間にRATの通信を検知することを目的とする.そのために,RATの通信検知に関する先行研究において用いられたパケット数やサイズといった特徴に加え,RATが通信を確立した際のC&Cサーバとの通信のパケットから,エントロピーを定義し,新たに特徴として加えた機械学習による検知手法を提案した.本研究で定義するエントロピーは,現状のRATと正常なアプリケーションの通信におけるパケットの偏りを表すものである.提案手法に対してk-分割交差検証を行い,RATと正常なアプリケーションの通信の分類実験を行った結果,ランダムフォレストによる検知において96.4%の高い精度と0.7%の低い誤検知率(偽陽性)が得られ,検知モデルの他の評価指標においても,提案手法が優れていることが分かった.