感染経路特定によるワームの検知とディジタルフォレンジックスへの応用

• 研究課題/領域番号: 18500063
• 研究種目: 基盤研究(C)
• 配分区分: 補助金
• 応募区分: 一般
• 研究分野: 計算機システム・ネットワーク
• 研究機関: 慶應義塾大学
• 研究代表者: 重野 寛 慶應義塾大学, 理工学部, 准教授 (30306881)
• 研究分担者: 岡田 謙一 慶應義塾大学, 理工学部, 教授 (80118926)
• 研究期間 (年度): 2006 – 2008
• 研究課題ステータス: 完了 (2008年度)
• 配分額: 4,170千円 (直接経費: 3,600千円、間接経費: 570千円); 2008年度: 910千円 (直接経費: 700千円、間接経費: 210千円); 2007年度: 1,560千円 (直接経費: 1,200千円、間接経費: 360千円); 2006年度: 1,700千円 (直接経費: 1,700千円)
• キーワード: 情報ネットワーク / ディジタルフォレンジックス / ワーム検知 / ロギング / ネットワーク / セキュアネットワーク / セキュア・ネットワーク / ワーム検

研究概要

近年, ネットワークワームの脅威が増してきており, 今後も強力な新型ワームの出現が予想されている. 本研究では, 脆弱ホストのアドレスリストを利用して感染先を発見するフラッシュワームを対象として, アノマリコネクションのツリーの検出を利用したワーム検知手法ACTMと, その分散型のd-ACTM/VTを提案し, シミュレーションによって有効性を示した. さらに, 自動アルゴリズムよる解析と視覚化システムを用いた人手による解析を併用するワーム感染経路の解析手法を提案し, ユーザ評価実験からその有効性を示した.

研究成果

• [雑誌論文] デジタルフォレンジックのためのワーム感染経路特定手法 (2009)
  • 著者名/発表者名: 稲場太郎, 田原慎也, 川口信隆, 塩澤秀和, 重野寛, 岡田謙一
  • 雑誌名: 情報処理学会論文誌 Vol.50, No.3 ページ: 1002-1011
  • NAID: 110007970392
  • 査読あり
• [雑誌論文] デジタルフォレンジックのためのワーム感染経路特定手法 (2009)
  • 著者名/発表者名: 稲場太郎
  • 雑誌名: 情報処理学会論文誌 Vol. 50, No3 ページ: 1002-1011
  • 査読あり
• [雑誌論文] d-ACTM/VT : A Distributed Virtual AC Tree Detection Method (2008)
  • 著者名/発表者名: Nobutaka Kawaguchi, Hiroshi Shigeno, Kenichi Okada
  • 雑誌名: IPSJ Journal Vol.49, No.2 ページ: 1010-1021
  • NAID: 130000058181
  • 査読あり
• [雑誌論文] d-ACTM/VT:A Distributed Virtual AC Tree Detection Method (2008)
  • 著者名/発表者名: Nobutaka Kawaguchi
  • 雑誌名: IPSJ Journal Vol.49,No.2 ページ: 1010-1021
  • 査読あり
• [雑誌論文] サイレントワーム検知のためのアノマリコネクションツリーメソッド (2007)
  • 著者名/発表者名: 川口信隆, 重野寛, 上田真太郎, 塩沢秀和, 岡田謙一
  • 雑誌名: 情報処理学会論文誌 Vol.48, No.2 ページ: 614-624
  • NAID: 110006207783
  • 査読あり
• [雑誌論文] サイレントワーム検知のためのアノマリコネクションツリーメソッド (2007)
  • 著者名/発表者名: 川口信隆
  • 雑誌名: 情報処理学会論文誌 Vol. 48, No. 2 ページ: 614-624
• [雑誌論文] A Distributed Worm Detection Method based on ACTM (2007)
  • 著者名/発表者名: Hiroshi Shigeno
  • 雑誌名: 情報処理学会研究報告 2007-DPS-130 ページ: 201-206
  • NAID: 110006249253
• [雑誌論文] アノマリコネクションツリーを用いたサイレントワームの早期検知手法の提案 (2006)
  • 著者名/発表者名: 川口信隆
  • 雑誌名: 情報処理学会研究報告 2006-CSEC-33 ページ: 31-36
• [学会発表] ディジタルフォレンジックのための視覚化によるワームの感染経路特定手法 (2008)
  • 著者名/発表者名: 稲場太郎, 芝口誠仁, 川口信隆, 重野寛, 岡田謙一
  • 学会等名: 情報処理学会DICOMO2008シンポジウム
  • 発表場所: 北海道札幌市
  • 年月日: 2008-07-09
• [学会発表] ディジタルフォレンジックのための視覚化によるワームの感染経路特定手法 (2008)
  • 著者名/発表者名: 稲場太郎
  • 学会等名: 情報処理学会マルチメディア, 分散, 協調とモバイル(DTCOMO2008)シンポジウム
  • 発表場所: 北海道札幌市
  • 年月日: 2008-07-09
• [学会発表] A Distributed Detection of Hitlist Worms (2008)
  • 著者名/発表者名: Nobutaka Kawaguchi, Hiroshi Shigeno, Kenichi Okada
  • 学会等名: The IEEE 2008International Conference on Communications
  • 発表場所: Beijing, China
  • 年月日: 2008-05-21
• [学会発表] A Distributed Detection of Hitlist Worms (2008)
  • 著者名/発表者名: Nobutaka Kawaguchi
  • 学会等名: In Proc. of The IEEE 2008 International Conference on Communications
  • 発表場所: Beijing, China
  • 年月日: 2008-05-21
• [学会発表] Early Containment of Worms Using Dummy Addresses and Connection Trace Back (2007)
  • 著者名/発表者名: Taro Inaba, Nobutaka Kawaguchi, Sinya Tahara, Hiroshi Shigeno, Ken-ichi Okada
  • 学会等名: The 13th International Conference on Parallel and Distributed Systems
  • 発表場所: Hsinchu, Taiwan
  • 年月日: 2007-12-06
• [学会発表] Early Containment of Worms Using Dummy Addresses and Connection Trace Back (2007)
  • 著者名/発表者名: Nobutaka Kawaguchi
  • 学会等名: 13th International Conference on Parallel and Distributed Systems(ICPADS)
  • 発表場所: Hsinchu,Taiwan
  • 年月日: 2007-12-06
• [学会発表] Worm Containment with Dummy Addresses and Connection Trace Back (2007)
  • 著者名/発表者名: Taro Inaba, Nobutaka Kawaguchi, Shinya Tahara, Hiroshi Shigeno, Kenichi Okada
  • 学会等名: The 15th IPSJ Workshop On Multimedia Communication and Distributed Processing(13-18)
  • 発表場所: 石川県加賀市
  • 年月日: 2007-10-31
• [学会発表] Worm Containment with Dummy Addresses and Connection Trace Back (2007)
  • 著者名/発表者名: Taro Inaba
  • 学会等名: 情報処理学会第15回マルチメディア通信と分散処理ワークショップ
  • 発表場所: 石川県加賀市
  • 年月日: 2007-10-31
• [学会発表] Detection of Silent Worms using Anomaly Connection tree (2007)
  • 著者名/発表者名: Nobutaka Kawaguchi
  • 学会等名: IEEE 21st International Conference on Advanced Information Networking and Applications(AINA)
  • 発表場所: Niagara Falls,Canada
  • 年月日: 2007-07-07
• [学会発表] Cooperative Detection of Malicious Mobile Users using Network Activity History (2007)
  • 著者名/発表者名: Shinya Tahara, Nobutaka Kawaguchi, Taro Inaba, Hidekazu Shiozawa, Hiroshi Shigeno, Ken-ichi Okada
  • 学会等名: DICOMO symposium
  • 発表場所: 三重県鳥羽市
  • 年月日: 2007-07-05
• [学会発表] Cooperative Detection of Malicious Mobile Users using Network Activity History (2007)
  • 著者名/発表者名: Shinya Tahara
  • 学会等名: マルチメディア・分散・協調とモバイル(DICOMO2007)シンポジウム
  • 発表場所: 三重県鳥羽市
  • 年月日: 2007-07-05
• [学会発表] Detection of Silent Worms using Anomaly Connection Tree (2007)
  • 著者名/発表者名: Nobutaka Kawaguchi, Hiroshi Shigeno, Kenichi Okada
  • 学会等名: In Proc. of The IEEE 21st International Conference on Advanced Information Networking and Applications(412-419)
  • 発表場所: Niagara Falls, Ontario, Canada
  • 年月日: 2007-05-21
• [学会発表] d-ACTM : Distributed Anomaly Connection Tree Method to detect Silent Worms (2007)
  • 著者名/発表者名: Nobutaka Kawaguchi, Hiroshi Shigeno, Kenichi Okada
  • 学会等名: In Proc. of 26th IEEE International Performance, Computing and Communications Conference (Malware'07 Track)(510-517)
  • 発表場所: New Orleans, Louisiana USA
  • 年月日: 2007-04-13
• [学会発表] d-ACTM:Distributed Anomaly Connection Tree Method to detect Silent Worms (2007)
  • 著者名/発表者名: Nobutaka Kawaguchi
  • 学会等名: 2nd International Swarm Intelligence&Other Forms of Malware Workshop
  • 発表場所: New Orleans,Louisiana,USA
  • 年月日: 2007-04-13
• [学会発表] A Distributed Worm Detection Method based on ACTM (2007)
  • 著者名/発表者名: 重野寛, 川口信隆, 岡田謙一
  • 学会等名: 情報処理学会研究報告2007-DPS-130(pp201-206)
  • 発表場所: 福岡県福岡市
  • 年月日: 2007-03-01
• [学会発表] アノマリコネクションツリーを用いたサイレントワームの早期検知手法の提案 (2006)
  • 著者名/発表者名: 川口信隆, 重野寛, 岡田謙一
  • 学会等名: 情報処理学会研究報告2006-CSEC-33(pp31-36)
  • 発表場所: 茨城県つくば市
  • 年月日: 2006-05-12
• [備考] 研究室ホームページ
  • URL: http://www.mos.ics.keio.ac.jp/
• [備考]
  • URL: http://www.mos.ics.keio.ac.jp/
• [備考]
  • URL: http://www.mos.ics.keio.ac.jp/