5E-01
トラフィック特徴を用いた悪質なHTTPオートウェアの識別
○こんまん とらん,中村康弘(防衛大)
一般利用者の使用するインターネットプロトコルは、その利便性や汎用性に基づき淘汰され、SMTPやHTTPなどの数種のプロトコルに様々な情報や機能を集約する傾向にある。マルウェアによるC&C通信においても同様の傾向があり、IRCサーバなどを利用していた従来のボットネット通信は、HTTPに置き換わりつつある。ところが、現在ではHTTPベースの通信はウェブページの閲覧ばかりでなく、ソフトウェアのアップデートやファイルや動画の転送、公告の配信など様々な用途に拡大している。このため、マルウェアがHTTP通信を利用する傾向が拡大するほど、この検出や識別が困難となってきている。加えて、アドウェアなどが行う通信はマルウェアのC&C通信と類似しているため、マルウェア対策をさらに難しくしている。そこで、この研究では、利用者のインタラクションによらずに特定サーバと自動的にHTTP通信を行うソフトウェアをオートウェアと定義し、HTTPトラフックの分析に基づき、この種の通信の検出と識別を行う手法を提案、評価する。
footer 情報処理学会 セキュリティ プライバシーポリシー 倫理綱領 著作権について