NetFlowやIPFIXから取得できるIPフロー情報を利用したマルウェア検知手法が盛んに研究されています.しかし,こうした手法は,長時間継続するフローや応答がないリクエスト・レスポンス等の一部のフローに対して早期の検知が困難,パケット到着間隔といった検知に有用な特徴量を取得できない,等の課題が存在します.
本研究ではこれらの課題を解決するため,スライディングウィンドウ方式に基づくマルウェアトラフィック検知手法を提案しました.本方式の導入により,ウィンドウ単位で検知が可能となり,フローの継続途中でも検知が可能となります.また,ウィンドウ単位で特徴量を取得することによって,短時間で発生する特徴量の変化を捉えることができます.
本提案手法の評価を行い,10秒以上継続するフローの場合,提案手法が既存手法と比べ検知までにかかる時間を約80%削減できること,特徴量の変化を捉え,有用な特徴量の多くを取得できることを確認しました.研究実績
- 小松 聖矢, 桂 祐成, 垣内 正年, 新井 イスマイル, 藤川 和利, "IPフロー情報を用いた確定時間でのマルウェアトラフィック検知," 電子情報通信学会 IA研究会, 信学技法, 電子情報通信学会, vol.121, no.201, pp6-11, 2021年10月15日.