情報処理学会 第77回全国大会講演要旨
4E-03
Firewallログを用いたマルウェア感染端末の検知手法
企業におけるセキュリティ対策においては、マルウェアの侵入を防止する
事前対策に加えて、マルウェアに感染したことを検知し、被害を最小限に
留める事後対策の重要性が高まっている。本稿では企業網の一般的な構成で
よく使用されるFirewallからログを収集し、マルウェア感染端末を
検知する手法を提案する。具体的には、多種多様なマルウェアを動的解析
して得られたマルウェアの通信ログから、特にIPレイヤの通信に着目し、
マルウェアに特有の悪性通信パターンを抽出する。また、正常時通信に
含まれるパターンはトレーニングによって悪性パターンから除去する。
本手法により、Proxyログを使用したURLブラックリストによる検知手法では
検知できない種類のマルウェアを検知できることを示した。
事前対策に加えて、マルウェアに感染したことを検知し、被害を最小限に
留める事後対策の重要性が高まっている。本稿では企業網の一般的な構成で
よく使用されるFirewallからログを収集し、マルウェア感染端末を
検知する手法を提案する。具体的には、多種多様なマルウェアを動的解析
して得られたマルウェアの通信ログから、特にIPレイヤの通信に着目し、
マルウェアに特有の悪性通信パターンを抽出する。また、正常時通信に
含まれるパターンはトレーニングによって悪性パターンから除去する。
本手法により、Proxyログを使用したURLブラックリストによる検知手法では
検知できない種類のマルウェアを検知できることを示した。
