抄録
L-006
分散型走査グループの検知と攻撃ペイロードの分類
分散型走査グループの検知と攻撃ペイロードの分類
ネットワーク攻撃の準備段階として行われる走査活動を観測し、これを早期に発見・分析することはネットワークの安全性を確保する重要な手段のひとつである。
しかしながら、近年の走査活動では、観測者による検知を逃れるために、単一の走査活動を複数のアドレスの機器に分散化して行うものがあり、検知が難しい。
そこでこの研究では、未使用アドレスへの接続要求に対して疑似応答を返すことで、走査活動の初期ペイロードを取得し、その同一性を根拠に分散型走査活動のグループ化を行う。
また、特定期間中の特定ポート番号への接続要求について、その初期ペイロードの内容を調査した結果を示し、当該走査活動の意図を推定した結果を示す。
しかしながら、近年の走査活動では、観測者による検知を逃れるために、単一の走査活動を複数のアドレスの機器に分散化して行うものがあり、検知が難しい。
そこでこの研究では、未使用アドレスへの接続要求に対して疑似応答を返すことで、走査活動の初期ペイロードを取得し、その同一性を根拠に分散型走査活動のグループ化を行う。
また、特定期間中の特定ポート番号への接続要求について、その初期ペイロードの内容を調査した結果を示し、当該走査活動の意図を推定した結果を示す。
