論文の概要: Striking Back At Cobalt: Using Network Traffic Metadata To Detect Cobalt Strike Masquerading Command and Control Channels
- arxiv url: http://arxiv.org/abs/2506.08922v1
- Date: Tue, 10 Jun 2025 15:47:22 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-06-11 15:11:42.766299
- Title: Striking Back At Cobalt: Using Network Traffic Metadata To Detect Cobalt Strike Masquerading Command and Control Channels
- Title(参考訳): コバルトで振り返る:ネットワークトラフィックメタデータを使ってコバルトストライクのマスクレーディングコマンドと制御チャネルを検出する
- Authors: Clément Parssegny, Johan Mazel, Olivier Levillain, Pierre Chifflier,
- Abstract要約: コマンドとコントロールのためのオフザシェルフソフトウェアは、しばしば攻撃者や合法的なテスト員によって使用される。
コバルト・ストライク(Cobalt Strike)は、「ムスタン・パンダ(Mustang Panda)」や「ノベリウム(Nobelium)」のような先進的な攻撃集団によって使用される、このカテゴリーで最も有名なソリューションの1つである。
- 参考スコア(独自算出の注目度): 0.22499166814992436
- License: http://creativecommons.org/licenses/by-sa/4.0/
- Abstract: Off-the-shelf software for Command and Control is often used by attackers and legitimate pentesters looking for discretion. Among other functionalities, these tools facilitate the customization of their network traffic so it can mimic popular websites, thereby increasing their secrecy. Cobalt Strike is one of the most famous solutions in this category, used by known advanced attacker groups such as "Mustang Panda" or "Nobelium". In response to these threats, Security Operation Centers and other defense actors struggle to detect Command and Control traffic, which often use encryption protocols such as TLS. Network traffic metadata-based machine learning approaches have been proposed to detect encrypted malware communications or fingerprint websites over Tor network. This paper presents a machine learning-based method to detect Cobalt Strike Command and Control activity based only on widely used network traffic metadata. The proposed method is, to the best of our knowledge, the first of its kind that is able to adapt the model it uses to the observed traffic to optimize its performance. This specificity permits our method to performs equally or better than the state of the art while using standard features. Our method is thus easier to use in a production environment and more explainable.
- Abstract(参考訳): コマンドとコントロールのためのオフザシェルフソフトウェアは、しばしば攻撃者や正統なテスト担当者が裁量を求めるために使われる。
これらのツールによって、ネットワークトラフィックのカスタマイズが容易になり、人気のあるWebサイトを模倣し、機密性を高めることができる。
コバルト・ストライク (Cobalt Strike) は、ムスタン・パンダ (Mustang Panda) やノベリウム (Nobelium) のような先進的な攻撃集団によって使用される、このカテゴリーで最も有名なソリューションの1つである。
これらの脅威に対処するため、セキュリティ・オペレーション・センターや他の防衛機関はTLSなどの暗号化プロトコルを使用するコマンド・アンド・コントロールのトラフィックを検出するのに苦労した。
ネットワークトラフィックメタデータに基づく機械学習アプローチは、Torネットワーク上で暗号化されたマルウェアの通信や指紋のウェブサイトを検出するために提案されている。
本稿では,広く使用されているネットワークトラフィックメタデータのみに基づいて,コバルトストライクコマンドと制御のアクティビティを検出する機械学習手法を提案する。
提案手法は,我々の知る限り,観測トラフィックに使用するモデルに適応し,その性能を最適化できる最初の方法である。
この特異性により、標準機能を使用しながら、我々のメソッドは最先端技術よりも同等かそれ以上の性能を発揮する。
したがって本手法は実運用環境での使用が容易で,より説明しやすい。
関連論文リスト
- CANTXSec: A Deterministic Intrusion Detection and Prevention System for CAN Bus Monitoring ECU Activations [53.036288487863786]
物理ECUアクティベーションに基づく最初の決定論的侵入検知・防止システムであるCANTXSecを提案する。
CANバスの古典的な攻撃を検知・防止し、文献では調査されていない高度な攻撃を検知する。
物理テストベッド上での解法の有効性を実証し,攻撃の両クラスにおいて100%検出精度を達成し,100%のFIAを防止した。
論文 参考訳(メタデータ) (2025-05-14T13:37:07Z) - How Robust Are Router-LLMs? Analysis of the Fragility of LLM Routing Capabilities [62.474732677086855]
大規模言語モデル(LLM)ルーティングは,計算コストと性能のバランスをとる上で重要な戦略である。
DSCベンチマークを提案する: Diverse, Simple, and Categorizedは、幅広いクエリタイプでルータのパフォーマンスを分類する評価フレームワークである。
論文 参考訳(メタデータ) (2025-03-20T19:52:30Z) - Federated Learning for Zero-Day Attack Detection in 5G and Beyond V2X Networks [9.86830550255822]
Connected and Automated Vehicles(CAV)は、5GおよびBeyondネットワーク(5GB)上にあり、セキュリティとプライバシ攻撃のベクトルの増加に対して脆弱である。
本稿では,ネットワークトラフィックパターンのみに依存する攻撃を検知するディープ・オートエンコーダ法を利用した新しい検出機構を提案する。
連合学習を用いて、提案した侵入検知システムは、CAVのプライバシーを維持し、通信オーバーヘッドを最小限に抑えながら、大規模で多様なネットワークトラフィックで訓練することができる。
論文 参考訳(メタデータ) (2024-07-03T12:42:31Z) - Discovering Command and Control Channels Using Reinforcement Learning [6.1248699897810726]
強化学習アプローチは、大規模ネットワーク上でC2アタックキャンペーンを自動実行することを学ぶ。
本稿では,C2トラフィックフローを3段階のプロセスとしてモデル化し,マルコフ決定プロセスとして定式化する。
この手法は,1000以上のホストを持つ大規模ネットワーク上で評価され,ファイアウォールを回避しながら攻撃経路を効果的に学習できることが実証された。
論文 参考訳(メタデータ) (2024-01-13T20:03:11Z) - Tweaking Metasploit to Evade Encrypted C2 Traffic Detection [5.156484100374058]
コマンド・アンド・コントロール(C2)通信は、いかなる構造化サイバー攻撃においても重要な要素である。
Metasploitのようなペンテスティングツールは、通常のWebトラフィックと容易に区別できる一定のトラフィックパターンを生成する。
機械学習に基づく検知器は,暗号化された場合でも,そのようなトラフィックの存在を高精度に検出できることを示す。
論文 参考訳(メタデータ) (2022-09-02T10:56:15Z) - An anomaly detection approach for backdoored neural networks: face
recognition as a case study [77.92020418343022]
本稿では,異常検出の原理に基づく新しいバックドアネットワーク検出手法を提案する。
バックドアネットワークの新たなデータセット上で本手法を検証し,完全スコアで検出可能性について報告する。
論文 参考訳(メタデータ) (2022-08-22T12:14:13Z) - Darknet Traffic Classification and Adversarial Attacks [3.198144010381572]
本研究では、SVM(Support Vector Machines)、RF(Random Forest)、CNN(Convolutional Neural Networks)、AC-GAN(Auxiliary-Classifier Generative Adversarial Networks)を評価して、ダークネットトラフィックの検出を改善することを目的とする。
我々のRFモデルは、CIC-Darknet 2020データセットで以前の研究で使われた最先端の機械学習技術より優れていることが分かりました。
論文 参考訳(メタデータ) (2022-06-12T12:12:37Z) - Verifying Learning-Based Robotic Navigation Systems [61.01217374879221]
有効モデル選択に現代検証エンジンをどのように利用できるかを示す。
具体的には、検証を使用して、最適下行動を示す可能性のあるポリシーを検出し、除外する。
我々の研究は、現実世界のロボットにおける準最適DRLポリシーを認識するための検証バックエンドの使用を初めて実証したものである。
論文 参考訳(メタデータ) (2022-05-26T17:56:43Z) - Safe RAN control: A Symbolic Reinforcement Learning Approach [62.997667081978825]
本稿では,無線アクセスネットワーク(RAN)アプリケーションの安全管理のためのシンボル強化学習(SRL)アーキテクチャを提案する。
我々は、ユーザが所定のセルネットワークトポロジに対して高レベルの論理的安全性仕様を指定できる純粋に自動化された手順を提供する。
ユーザがシステムに意図仕様を設定するのを支援するために開発されたユーザインターフェース(UI)を導入し、提案するエージェントの動作の違いを検査する。
論文 参考訳(メタデータ) (2021-06-03T16:45:40Z) - Deep Learning for Network Traffic Classification [0.0]
ネットワークトラフィックを監視してコンテンツ、サービス、アプリケーションを特定することは、ネットワークトラフィック制御システムにおいて活発な研究トピックである。
これまでの研究では、アプリケーションとサービスの識別を可能にする機械学習の手法が特定されていた。
本稿では,パケット,ペイロード,時間列の深層学習アーキテクチャのアンサンブルを用いた分類手法を提案する。
論文 参考訳(メタデータ) (2021-06-02T04:11:32Z) - Symbolic Reinforcement Learning for Safe RAN Control [62.997667081978825]
無線アクセスネットワーク(RAN)アプリケーションにおける安全な制御のためのシンボリック強化学習(SRL)アーキテクチャを紹介します。
本ツールでは,LTL(Linear Temporal Logic)で表現された高レベルの安全仕様を選択して,所定のセルネットワーク上で動作しているRLエージェントをシールドする。
ユーザインタフェース(ui)を用いて,ユーザがインテントの仕様をアーキテクチャに設定し,許可されたアクションとブロックされたアクションの違いを検査する。
論文 参考訳(メタデータ) (2021-03-11T10:56:49Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。