パケットモニタリングを用いた感染端末検出のためのトラフィック分析に関する研究

2023 年度 研究成果報告書

• 研究課題/領域番号: 21K11889
• 研究種目: 基盤研究(C)
• 配分区分: 基金
• 応募区分: 一般
• 審査区分: 小区分60070:情報セキュリティ関連
• 研究機関: 九州工業大学
• 研究代表者: 中村 豊 九州工業大学, 情報基盤センター, 教授 (40346317)
• 研究期間 (年度): 2021-04-01 – 2024-03-31
• キーワード: パケットキャプチャ / ラテラルムーブメント

研究成果の概要

本研究ではキャンパスネットワーク内においてラテラルムーブメントを検出するためのパケット計測基盤としてarkimeを用い，内部通信の監視を実施してきている。本学ではキャンパス内部においてもファイアーウォールを設置しており、その性能劣化が発生した際に、arkimeを用いたパケットキャプチャとファイアーウォールのインタフェース情報を組み合わせることで、ファイアーウォールのボトルネックポイントを見つけ出すことに成功した。これらの結果から、内部通信における異常検知はパケットキャプチャだけではなく、他のネットワーク機器からの情報との組み合わせが非常に重要であることが明らかとなった。

自由記述の分野

情報セキュリティ関連

研究成果の学術的意義や社会的意義

本研究では標的型攻撃を受けた一次被害端末の防御を100%実施できないことを前提に、ウイルス感染後通信挙動、具体的にはC&C通信、ボットダウンロード、ラテラルムーブメント等に着目し、それらを検出、分析するための手法を提案した。本手法の特徴は既存システムで検知可能な被害を受けた一次被害端末の特定ではなく、一次被害端末が生成する通信の特徴を分析することで二次被害端末の検出を可能とする、という点にある。また、分析の汎用性・可用性を高めるために、過去に蓄積したトラフィックデータも分析対象とした。これにより、自組織だけでなく様々な組織におけるトラフィックデータの分析が可能となりセキュリティ対策に貢献する。