インターネット上の到達可能かつ未使用の IP アドレス空間(ダークネット)を利用し,新興のマルウェア活動を検知することは,迅速なサイバーセキュリティ対策を行うために必要不可欠である.しかし,巧妙な攻撃者による分散スキャンと調査目的スキャンを区別することは非常に難しい.既存研究では,スキャン対象のポートや送信元ホストの分布に着目することで,攻撃者によるスキャン活動の検知を試みているが,緻密に組織化されたスキャン活動の特定には至っていない.一方,スキャンパケットには他の通信と区別するための特徴(フィンガープリント)が埋め込まれていることが既存研究で知られている.本稿ではフィンガープリントを論理式で表現し,遺伝的アルゴリズムを応用することで,複雑な特徴(論理式)を捉える手法を初めて提案する.ダークネットトラフィックを用いた実験では,既存及び未知の論理式の特定に成功した.論理式を満たすパケットを分析することで,複数の脆弱性を狙った複数ホストによるスキャン活動を確認するとともに,それらは中規模以下のスキャナ郡によって行われることを確認した.
各種検索
サポート
ヘルプ