2023 Fiscal Year Final Research Report
Study on Traffic Analysis for Detecting Infected Terminals Using Packet Monitoring
| Project/Area Number |
21K11889
|
|---|
| Research Category |
Grant-in-Aid for Scientific Research (C)
|
| Allocation Type | Multi-year Fund |
|---|
| Section | 一般 |
|---|
| Review Section |
Basic Section 60070:Information security-related
|
|---|
| Research Institution | Kyushu Institute of Technology |
|---|
Principal Investigator |
Nakamura Yutaka 九州工業大学, 情報基盤センター, 教授 (40346317)
|
|---|
| Project Period (FY) |
2021-04-01 – 2024-03-31
|
| Keywords | パケットキャプチャ / ラテラルムーブメント |
|---|
| Outline of Final Research Achievements |
In this research, we have been using arkime as a packet measurement platform for detecting lateral movement in the campus network and monitoring internal communications. Our University has a firewall on campus, and when its performance degraded, we succeeded in finding the bottleneck point of the firewall by combining the packet capture using arkime and the interface information of the firewall. . These results clearly show that anomaly detection in internal communication is not only based on packet capture, but also on the combination of information from other network devices, which is very important.
|
| Free Research Field |
情報セキュリティ関連
|
| Academic Significance and Societal Importance of the Research Achievements |
本研究では標的型攻撃を受けた一次被害端末の防御を100%実施できないことを前提に、ウイルス感染後通信挙動、具体的にはC&C通信、ボットダウンロード、ラテラルムーブメント等に着目し、それらを検出、分析するための手法を提案した。本手法の特徴は既存システムで検知可能な被害を受けた一次被害端末の特定ではなく、一次被害端末が生成する通信の特徴を分析することで二次被害端末の検出を可能とする、という点にある。また、分析の汎用性・可用性を高めるために、過去に蓄積したトラフィックデータも分析対象とした。これにより、自組織だけでなく様々な組織におけるトラフィックデータの分析が可能となりセキュリティ対策に貢献する。
|
