著者
竹森 敬祐 三宅 優 中尾 康二
出版者
一般社団法人情報処理学会
雑誌
情報処理学会研究報告コンピュータセキュリティ(CSEC) (ISSN:09196072)
巻号頁・発行日
vol.2002, no.68, pp.27-32, 2002-07-18
参考文献数
11
被引用文献数
1

コンテンツの変更を検知してアラームを通知するWebサーバリモート監視システムにおいて,正規の更新によって通知されるアラームの中に,注意すべき改竄アラームが埋もれてしまいかねないという問題が明らかになった.そこで本稿では,監視中のコンテンツに変更を検知した場合,そのコンテンツの特徴や変更前後の変化の様子を解析することで,改竄を的確に検出する改竄判定手法を提案する.提案手法は,改竄にみられる特徴のうち1つでも1つでも該当する項目があれば改竄とみなす手法であり,その判定結果は,正規の更新と改竄を区別して出力する.実際の改竄のデータを用いて提案手法の改竄判定率を評価した結果,小さな誤判定率で全ての改竄を検出できることを確認した.これにより,サイト管理者は改竄アラームに集中できるようになり,検出された改竄の特徴を知らされることで,コンテンツの改竄状況の把握と改竄時の対策を迅速に実施できるようになる.We have developed a remoto patrol system for web servers which detects the change of contents. However, it could not distinguish between regular updata and and unauthorized manipulation. The administrator of web servers may receive many alarms from this system if the contents are updated, frequently. In this paper, we propose detection algorithm of unauthorized manipulation by concentrating on the characteristics on HTML contents as well as the correlation between before and after changes. We could abstract six characteristics, which are so-called signatures to detect manipulations based on the several sample data. We also evaluate our algorithm using many sample data, and as the results our algorithm is quite feasible to detect any types of contents with little miss-detection of faults positive. In conclusion, administrators of web servers detect and manage the unauthorized detection efficiently among their routing works.
著者
中里 純二 班 涛 島村 隼平 衛藤 将史 井上 大介 中尾 康二
出版者
一般社団法人電子情報通信学会
雑誌
電子情報通信学会技術研究報告. ICSS, 情報通信システムセキュリティ (ISSN:09135685)
巻号頁・発行日
vol.113, no.502, pp.101-106, 2014-03-20

スパムメール本文を用いた特徴分析では,スパムメールの目的や攻撃活動(キャンペーン)の違いにより特徴が変化する.そこで,キャンペーンなどに影響を受けない新たな分析手法として,メールヘッダ内に記載されている転送経路に着目したスパムメール分析を行う.複数のスパムメールの転送経路情報を利用する事で,確度の高い分析を行う事が可能となる.本論文では,スパムメール関連ホストの状態をNICTERで収集しているスパムメールと大規模ダークネット観測を用いた分析を行う.複数のスパムメールから抽出した転送経路とダークネットトラフィックを突合する事で,ボットなどによるスパム送信ホストやリレーサーバの存在を明らかにする.
著者
岩本 一樹 神薗 雅紀 津田 侑 遠峰 隆史 井上 大介 中尾 康二
雑誌
研究報告コンピュータセキュリティ(CSEC)
巻号頁・発行日
vol.2014-CSEC-65, no.13, pp.1-6, 2014-05-15

アプリケーションの脆弱性を攻撃する電子文書型マルウェアを動的に解析するためには,該当する脆弱性をもつアプリケーションを準備する必要がある.しかし脆弱性の種類を特定することは困難な場合があり,またアプリケーションが入手できない可能性もある.一方,脆弱性を攻撃した後に動作する不正なプログラム (シェルコード) は脆弱性やアプリケーションに関係なく独立して動作することが多い.そこで本研究では脆弱性の種類を特定することなく,またアプリケーションが無くても電子文書型マルウェアの動的解析が行えるようにするために,電子文書型マルウェアに含まれるシェルコードを特定して実行する方法を提案する.
著者
井上 大介 中尾 康二
雑誌
情報処理
巻号頁・発行日
vol.51, no.3, pp.237-243, 2010-03-15
著者
吉岡 克成 薗田 光太郎 滝澤 修 中尾 康二 松本 勉
出版者
一般社団法人電子情報通信学会
雑誌
電子情報通信学会技術研究報告. ISEC, 情報セキュリティ (ISSN:09135685)
巻号頁・発行日
vol.106, no.176, pp.197-204, 2006-07-14
被引用文献数
3

我々は,LZ77符号化やハフマン符号化などの可逆データ圧縮において情報を埋込む方法を既に提案している.本報告では,LZSS符号化における情報埋込方式を,データ圧縮ツールとして広く利用されているZIPに適用した,情報埋込機能付データ圧縮ツールIH-ZIPの実装と性能評価について報告する.評価の結果,圧縮率の観点からは,IH-ZIPはパラメータを調整することにより,スライド辞書法を忠実に実装したオリジナルのZIPに準ずる効率を達成できることがわかった.さらに処理速度の観点からは,高速化の工夫により,オリジナルZIPと同程度の速度を達成できた.
著者
西田 雅太 星澤 裕二 笠間 貴弘 衛藤 将史 井上 大介 中尾 康二
出版者
一般社団法人情報処理学会
雑誌
研究報告マルチメディア通信と分散処理(DPS) (ISSN:09196072)
巻号頁・発行日
vol.2014, no.21, pp.1-7, 2014-02-27

近年増加しているドライブバイダウンロード攻撃では,JavaScript を介して攻撃を行うものがあり,悪意のある JavaScript を検出する手法が希求されている.本稿では,難読化が施された JavaScript の文字出現頻度が一般の JavaScript とは異なる傾向があることに着目し,スクリプトの文字出現頻度を機械学習のパラメータとすることで,悪意のある難読化スクリプトを検出する手法を提案する.また提案手法の検証として,一般サイトの JavaScript と MWS データセット内の D3M 攻撃通信データの JavaScript を入力として学習した結果を示す.Today the number of Drive-by-Download attacks using JavaScript has increased. Therefore we need an efficient method to detect malicious JavaScript. In this paper, we focus our attention on a bias of character frequency of obfuscated malicious JavaScript. We will propose the use of machine learning with character frequency to detect obfuscated malicious JavaScript. This paper will also evaluate the proposed method by using various JavaScript in benign web sites and D3M pcap of MWS dataset.
著者
森川 輝 村上 求 小篠 裕子 勝手 壮馬 伊沢 亮一 森井 昌克 中尾 康二
出版者
一般社団法人電子情報通信学会
雑誌
電子情報通信学会技術研究報告. ICSS, 情報通信システムセキュリティ (ISSN:09135685)
巻号頁・発行日
vol.109, no.86, pp.109-114, 2009-06-11

インターネットの普及に伴い,不正アクセスやマルウェア感染による被害は増加傾向にある.マルウェア感染の被害を最小限にとどめるためには迅速な解析を行い,マルウェアに対して適切な対策を講じなければならない.本稿では類似度判定で得た類似度から未知のマルウェアが有する機能を推定するマルウェア解析システムを提案する.提案システムを用いることでマルウェアの詳細な解析を行うことなく機能を推定することが可能である.さらに提案システムは解析マシンの高速復元も可能である.
著者
安本 幸希 森井 昌克 中尾 康二
出版者
一般社団法人電子情報通信学会
雑誌
電子情報通信学会技術研究報告. OIS, オフィスインフォメーションシステム (ISSN:09135685)
巻号頁・発行日
vol.107, no.347, pp.31-36, 2007-11-14
被引用文献数
1

一般にマルウェアのほとんどは,既知のマルウェアの亜種,もしくは既知のマルウェアと同一であるにもかかわらず,パッキングと呼ばれるコード変換をされたマルウェアである.解析対象となるマルウェアが,既知のマルウェアの亜種であることが判明すれば,新たに解析をする必要はほとんどなく,機能の大部分を推定することが可能となる.本稿では,未知のマルウェアに対して,既に解析されたマルウェアとの類似度を与える手法を示し,その類似度から未知のマルウェアが有する機能を推定するシステムを提案する.
著者
竹森 敬祐 三宅 優 中尾 康二 菅谷 史昭 笹瀬 巌
出版者
一般社団法人電子情報通信学会
雑誌
電子情報通信学会論文誌. A, 基礎・境界 (ISSN:09135707)
巻号頁・発行日
vol.87, no.6, pp.816-825, 2004-06-01
被引用文献数
11

近年,サイバーテロ対策の一環としてSecurity Operation Center(SOC)の設置が進められているが,広域や個々のネットワークを分析するための効率的な手段がない.本論文では,異なる環境のネットワークを集中監視するSOCのために,様々なIntrusion Detection System(IDS)から出力されるログを統合管理して,時間軸上での異常なイベントを客観的に検出するIDSログ分析支援システムを提案する.分析は,過去の長期間のイベント出力特性(長期プロファイルと呼ぶ)に対する最近の短期間のイベント出力特性(短期プロファイルと呼ぶ)の変化の程度を,異常率として評価する.各地で運用されているIDSから収集したログを用いて評価を行い,従来からの頻度分析結果の中から検証の不要なイベントを特定できること,頻度分析で発見が困難であったかすかな痕跡を抽出できることを確認する.本システムは,広域かつ詳細に監視を行えるシステムとして,SOCにおけるログ分析作業の信頼性の向上と効率化に寄与する.
著者
吉原 貴仁 杉山 敬三 中尾 康二
出版者
一般社団法人電子情報通信学会
雑誌
電子情報通信学会技術研究報告. IN, 情報ネットワーク (ISSN:09135685)
巻号頁・発行日
vol.100, no.17, pp.13-18, 2000-04-21
被引用文献数
1

(Simple Network Management Protocol)などの網管理方式(以下, 集中管理方式と呼ぶ)では網管理処理が管理ノードに集中し, また, 網管理情報収集の際のポーリングに必要な帯域が被管理ノード数の増加とともに増大するため, 大規模網への適用に限界があるなどの問題が指摘されている.このため, 網管理処理の一部を記述した管理スクリプトを被管理ノードに投入して実行する管理方式(以下, 分散管理方式と呼ぶ)の提案がある.しかしながら, 分散管理方式では被管理ノードの処理負荷を考慮せずに管理スクリプトが投入されるため, 特定の被管理ノードに処理負荷が偏り, 必ずしも網全体で処理負荷の均衡が保てない問題点がある.本稿ではこの問題点を解決するため, 管理ノードや被管理ノードの処理負荷および管理スクリプトの実行にともなうポーリングや通知に必要な帯域に基づき, 管理ノードや被管理ノードなどで網管理処理の動的な負荷分散を図る, 動的負荷分散アルゴリズムを提案する.また, アルゴリズムを実装し, 実環境評価を行う.
著者
竹久 達也 廣友 雅徳 伊沢 亮一 森井 昌克 中尾 康二
出版者
一般社団法人電子情報通信学会
雑誌
電子情報通信学会技術研究報告. IE, 画像工学 (ISSN:09135685)
巻号頁・発行日
vol.109, no.206, pp.119-124, 2009-09-17
参考文献数
9

近年,インターネット上での各種サイバー攻撃の数が増加しており,サービス提供者および利用者にとって大きな脅威となっている.インターネット上でリモートアクセスVPNサービスを提供する場合,サービス提供サーバはDoS攻撃を初めとするサイバー攻撃に晒されることになる.このような攻撃への対策としてサービス提供サーバの着信ポート番号を特定不能にすることが有効である.筆者らはサービスの着信ポート番号を動的に変更するリモートVPNについて検討し具体的な実装方式を提案した.本稿では筆者らが提案したポートランダマイズドVPN方式の性能を評価することにより有効性および実現可能性を示す.
著者
力武 健次 中尾 康二 野川 裕記 下條 真司
出版者
一般社団法人情報処理学会
雑誌
情報処理学会研究報告マルチメディア通信と分散処理(DPS) (ISSN:09196072)
巻号頁・発行日
vol.2003, no.18, pp.179-184, 2003-02-27

DNS (ドメイン名システム)にはトランスポート層にインターネット全体のセキュリティを弱めかねない基本的な欠点がある。DNS データベースのトランザクションは大部分がUDP 上でなされており、サービス拒否攻撃に対してシステム全体が影響を受けやすい。本論文では公開されたインターネットゲートウェイシステムにおいて、UDP によるDNS サービスの提供のリスクについて論じる。その代案として、DNS のトランスポート層へのT/TCP (トランザクショナルTCP )の導入を提案し、実装実験による評価を通じて、T/TCPがパフォーマンスの損失を抑えつつ、DNS トラフィックの制御をより容易にすることを示す。The DNS (Domain Name System) has a fundamental weakness on the transport layer, which may affect the overall security of the Internet. The DNS database transaction is mostly performed over UDP, which makes the whole system susceptible to denial-of-service attacks. In this paper, we first discuss the risk of providing DNS service through UDP access on publicly-exposed Internet gateway systems. We then propose introducing T/TCP (Transactional TCP) to the DNS transport layer as an alternative. We evaluate an experimental implementation and show how T/TCP is effective to improve the controllability of the DNS traffic while the performance degradation is minimal.
著者
力武 健次 中尾 康二 野川 裕記 下條 真司
出版者
一般社団法人情報処理学会
雑誌
情報処理学会研究報告コンピュータセキュリティ(CSEC) (ISSN:09196072)
巻号頁・発行日
vol.2003, no.18, pp.179-184, 2003-02-27

DNS (ドメイン名システム)にはトランスポート層にインターネット全体のセキュリティを弱めかねない基本的な欠点がある。DNS データベースのトランザクションは大部分がUDP 上でなされており、サービス拒否攻撃に対してシステム全体が影響を受けやすい。本論文では公開されたインターネットゲートウェイシステムにおいて、UDP によるDNS サービスの提供のリスクについて論じる。その代案として、DNS のトランスポート層へのT/TCP (トランザクショナルTCP )の導入を提案し、実装実験による評価を通じて、T/TCPがパフォーマンスの損失を抑えつつ、DNS トラフィックの制御をより容易にすることを示す。The DNS (Domain Name System) has a fundamental weakness on the transport layer, which may affect the overall security of the Internet. The DNS database transaction is mostly performed over UDP, which makes the whole system susceptible to denial-of-service attacks. In this paper, we first discuss the risk of providing DNS service through UDP access on publicly-exposed Internet gateway systems. We then propose introducing T/TCP (Transactional TCP) to the DNS transport layer as an alternative. We evaluate an experimental implementation and show how T/TCP is effective to improve the controllability of the DNS traffic while the performance degradation is minimal.