エントロピーを特徴として用いた初期侵入段階におけるRATの通信検知

宇野真純(1551018)


標的型攻撃の検知においては,初期侵入段階から端末制御段階までにRemote Access Trojan/Tool(RAT)の通信を検知することが有用とされている. しかし,標的型攻撃の検知における先行研究は,制御段階までに得られる情報を用いて検知が出来ないことや,抽出された特徴が短期間の通信パケットであるために正常なアプリケーションとの区別が困難であること,特定の通信プロトコルを使うことのみ想定した場合など環境に依存するために検知の条件を回避する偽装が容易であること等の問題が存在する. 本研究では初期侵入段階から端末制御段階までの間にRATの通信を検知することを目的とする.先行研究で用いられたIn/Out-bound通信のパケット数やバイト数などの複数の特徴に加え,RATが通信を確立した際のC2サーバとの通信トラフィックの通信パケットから新たにエントロピーを計算して新たに特徴とした検知手法を提案する. 提案手法に対してk-分割交差検定を行い,RATの通信の分類実験を行った結果,約96.2%の高い精度と約1.6%の低い偽陽性を得られた.