著者

小川 秀貴 Hideki Ogawa

出版者

関西学院大学

巻号頁・発行日

2014-02-26

著者

小川 秀貴 山口 由紀子 嶋田 創 高倉 弘喜 秋山 満昭 八木 毅

雑誌

コンピュータセキュリティシンポジウム2016論文集

巻号頁・発行日

vol.2016, no.2, pp.408-415, 2016-10-04 (Released:2016-11-08)

---

昨今のサイバー攻撃は巧妙化しており,マルウェア感染を未然に防ぐことが困難となっている.したがって早期のマルウェア感染検知技術が重要となっている.昨今のマルウェアはファイアウォールやプロキシでの検知を回避するために,C&C 通信に業務等で使われている HTTP を使用したものが多く,検知が困難である.そこで本研究では,特に HTTP トラフィックを対象としたアノマリ型の検知手法を提案する.提案手法では HTTP の各通信先ごとにリクエスト送信間隔とレスポンスのボディサイズから特徴量を抽出し,SVM を用いてマルウェア感染由来かどうかの判定を行う. Recent cyber attacks are sophisticated so that it is difficult to prevent malware infection. Therefore, early malware infection detection becomes more important. Moreover, latest malware utilizes HTTP which is widely used on business for avoiding detection by firewalls and proxies. It further makes malware infection detection harder with typical traffic analysis. In this study, we propose an anomaly detection method for malware originated HTTP traffic. In proposal, we judge HTTP traffic by SVM with utilizing newly extracted features such as HTTP request interval and response body size.