2024-03-29T08:25:29Zhttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_oaipmhoai:ipsj.ixsq.nii.ac.jp:001576662023-04-27T10:00:04Z01164:06389:08485:08486
複数のハニーポットにおいて観測された情報に基づく通信のネットワーク上の特徴を考盧したぜい弱性スキャン識別Detection of Vulnerability Scanning Using Features of Collective Accesses Collected from Several Honeypotsjpn攻撃対策http://id.nii.ac.jp/1001/00157632/Technical Reporthttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_action_common_download&item_id=157666&item_no=1&attribute_id=1&file_no=1Copyright (c) 2016 by the Institute of Electronics, Information and Communication Engineers This SIG report is only available to those in membership of the SIG.大阪大学大学院情報科学研究科大阪大学大学院情報科学研究科NTTセキュアプラットフォーム研究所NTTセキュアプラットフォーム研究所大阪大学大学院情報科学研究科久世, 尚美石倉, 秀八木, 毅千葉, 大紀村田, 正幸Web サービスの浸透に伴い Web サーバに対する攻撃が急増する一方,Web サービスの形態が多様化し,攻撃を防止するためにすべてのサービスのぜい弱性を特定することは困難となっている.そのため,攻撃の情報を収集・分析して未知の攻撃の検知を行う必要がある.攻撃を収集する方法として Web サーバ型ハニーポットを用いる方法が知られている.しかし,ハニーポットはクローラなどの正常なパケットを含む多量なパケットを収集するため,その中から悪質なパケットを自動的に識別する機構が求められる.特に,攻撃の準備動作であるぜい弱性スキャンは攻撃への早期対策の観点から重要である.本稿では,スキャン,およびスキャンとの類似点が多いクローラの識別に焦点を当てる.クローラはスキャンとの類似点が多いことに加え,パケット数が膨大かつ多様であるため,単一のサーバから観測可能な個々の通信に関する特徴のみから両者の識別を行うことは困難である.本稿では,複数のサーバから得られる通信のネットワーク上の特徴をクローラとスキャン識別に用い,その有用性を示す.実験結果より,通信のネットワーク上の特徴を用いることで,クローラとスキャンの識別が高い精度で可能であることを示した.Attacks against websites are increasing rapidly with the expansion of web services. Diversifying web services make it difficult to prevent such attacks due to many unknown vulnerabilities in websites. To overcome this problem, we need to collect the most recent attacks using decoy web honeypots and to implement countermeasures against malicious threats. Web honeypots collect not only malicious accesses but also benign accesses such as those by web crawlers. Therefore, it is essential to identify automatically malicious accesses from mixed collected data. Specifically, detecting vulnerability scanning, which is a preliminary process of web attacks, is important for preventing attacks. In this study, we focused on classification of web crawler and vulnerability scanning since these are too similar to be identified. We propose feature vectors including features of collective accesses obtained with multiple honeypots deployed in different networks. Through our evaluation, we show that features of collective accesses are advantageous for web crawler and vulnerability scanning classification.AA12628305研究報告セキュリティ心理学とトラスト(SPT)2016-SPT-179162016-02-252188-86712016-02-24