パケットモニタリングを用いた感染端末検出のためのトラフィック分析に関する研究

利用数据包监控检测受感染终端的流量分析研究

• 批准号: 21K11889
• 负责人: 中村 豊
• 金额: $ 2.66万
• 依托单位: Kyushu Institute of Technology
• 依托单位国家: 日本
• 项目类别: Grant-in-Aid for Scientific Research (C)
• 财政年份: 2021
• 资助国家: 日本
• 起止时间: 2021-04-01 至 2024-03-31
• 项目状态: 已结题
• 来源: https://kaken.nii.ac.jp/grant/KAKENHI-PROJECT-21K11889/
• 关键词: パケットキャプチャ; 内部通信; 異常検知; ラテラルムーブメント; パケットモニタリング

本研究で提案する二次被害特定のためのトラフィック分析は申請者らの独自の手法である．一次被害端末を検出するための製品やサービスは数多く存在するが，一次被害端末が生成す るトラフィックを分析し，二次被害端末の特定，調査を行う研究は行われていない．特に内部拡散に用いられるラテラルムーブメントにおいて，内部ネットワークでどの端末が侵害を受けたかを分析することは，これまで非常に困難であった．これはラテラルムーブメントの通信を検知したとしても，その通信で内部拡散に成功したかどうかの成否を判定してこなかったからである．また，内部ネットワークの計測自体が非常に高コストで困難であった．しかし我々は大規模環境向けフルパケットキャプチャツールであるArkimeを用いることで比較的低価格なサーバでキャンパスネットワークのキャプチャシステムの構築に成功した．ArkimeではパケットキャプチャだけでなくElasticsearchを用いたセッション情報を取得することができる．このセッション情報を分析することで内部ネットワークにおける通信状態を把握することが可能となる．本研究ではArkimeが生成するセッション情報を分析することでラテラルムーブメント発生時の拡散の成否について判定するための手法について検討する．具体的には内部スキャン通信を検知した際，それらのセッションの特徴を分析し，「スキャンの検出」「サービスの検出」「端末への侵害」と3段階の分類を行い，二次被害端末の特定を行う．令和４年度では令和３年度に構築したArkimeを用いた計測環境を用いて二次被害端末の特定手法について調査を進めた．

This study で proposal する secondary victimization specific <s:1> ため ため トラフィッ トラフィッ <s:1> analysis である applicant ら <s:1> individual methods である. A murder at the end of the end を 検 out す る た め の products や サ ー ビ ス は く exist many す る が, a murder at the end of the end が generated す る ト ラ フ ィ ッ ク し を analysis, the second killed at the end of the end の specific, survey lines を う research は わ れ て い な い. Scattered に に internal company, used a い ら れ る ラ テ ラ ル ム ー ブ メ ン ト に お い て, internal ネ ッ ト ワ ー ク で ど の end が violation を by け た か を analysis す る こ と は, こ れ ま で very difficult に で あ っ た. こ れ は ラ テ ラ ル ム ー ブ メ ン ト の communication を 検 know し た と し て も, そ の communication で internal company, scattered に successful し た か ど う か の into no を determine し て こ な か っ た か ら で あ る. The また, internal ネットワ また and <s:1> are used to measure the self-が, which is very に and コストで difficult であった. し か し I 々 は large-scale environmental to け フ ル パ ケ ッ ト キ ャ プ チ ャ ツ ー ル で あ る Arkime を with い る こ と で compared low 価 lattice な サ ー バ で キ ャ ン パ ス ネ ッ ト ワ ー ク の キ ャ プ チ ャ シ ス テ ム built の に success し た. Arkime で は パ ケ ッ ト キ ャ プ チ ャ だ け で な く Elasticsearch を with い た セ ッ シ ョ ン intelligence を obtain す る こ と が で き る. こ の セ ッ シ ョ ン intelligence analysis を す る こ と で internal ネ ッ ト ワ ー ク に お け る communication state を grasp す る こ と が may と な る. This study で は Arkime が generated す る セ ッ シ ョ ン intelligence analysis を す る こ と で ラ テ ラ ル ム ー ブ メ ン ト 発 he の company is の into no に つ い て determine す る た め の gimmick に つ い て beg す 検 る. Specific に は internal ス キ ャ ン communication を 検 know し た interstate, そ れ ら の セ ッ シ ョ ン の, 徴 し を analysis, "ス キ ャ ン の 検 out" "サ ー ビ ス の 検 out" "at the end of the end へ の violations" と 3 paragraph order line を い の classification, secondary killed at the end of the end の specific う を line. Make and 4 year で は make and 3 year に build し た Arkime を with い た を measuring environment with い て secondary killed at the end of the end の specific technique に つ い を て investigation into め た.

项目成果

Arkime を用いた内部トラヒック調査に関する研究

基于Arkime的内部流量调查研究

• 发表时间: 2021
• 作者: 中村 豊;佐藤 彰洋;福田 豊;林 豊洋;井上 純一;岩崎 宣仁;和田 数字郎
• 通讯作者: 和田 数字郎

IPv6IPsec VPNをVXLANを用いたキャンパス間バックアップネットワークの構築とその応用

基于IPv6IPsec VPN和VXLAN的校际备份网络构建及应用

• 发表时间: 2022
• 作者: 相澤直樹 栃窪孝也;相澤直樹 栃窪孝也;相澤直樹 栃窪孝也;相澤直樹 栃窪孝也;中村豊，佐藤彰洋，福田豊
• 通讯作者: 中村豊，佐藤彰洋，福田豊