WEKO3
アイテム
コネクションベース方式による踏み台攻撃検出手法の提案
https://ipsj.ixsq.nii.ac.jp/records/10048
https://ipsj.ixsq.nii.ac.jp/records/1004872742082-a3ba-4994-92a5-39b7f2d90670
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-JNL4802023.pdf (751.8 kB)
|
Copyright (c) 2007 by the Information Processing Society of Japan
|
|
| オープンアクセス | ||
| Item type | Journal(1) | |||||||
|---|---|---|---|---|---|---|---|---|
| 公開日 | 2007-02-15 | |||||||
| タイトル | ||||||||
| タイトル | コネクションベース方式による踏み台攻撃検出手法の提案 | |||||||
| タイトル | ||||||||
| 言語 | en | |||||||
| タイトル | A Proposal of a Detection Technique on Stepping-stone Attacks Using Connection-based Method | |||||||
| 言語 | ||||||||
| 言語 | jpn | |||||||
| キーワード | ||||||||
| 主題Scheme | Other | |||||||
| 主題 | 特集:シームレスコンピューティングとその応用技術 | |||||||
| 資源タイプ | ||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_6501 | |||||||
| 資源タイプ | journal article | |||||||
| その他タイトル | ||||||||
| その他のタイトル | ネットワークセキュリティ | |||||||
| 著者所属 | ||||||||
| 名城大学大学院理工学研究科 | ||||||||
| 著者所属 | ||||||||
| 名城大学大学院理工学研究科 | ||||||||
| 著者所属 | ||||||||
| 名城大学大学院理工学研究科 | ||||||||
| 著者所属 | ||||||||
| 宮崎大学工学部 | ||||||||
| 著者所属 | ||||||||
| 名城大学大学院理工学研究科 | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Graduate School of Science and Technology, Meijo University | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Graduate School of Science and Technology, Meijo University | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Graduate School of Science and Technology, Meijo University | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Faculty of Engineering, University of Miyazaki | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Graduate School of Science and Technology, Meijo University | ||||||||
| 著者名 |
竹尾, 大輔
× 竹尾, 大輔
|
|||||||
| 著者名(英) |
Daisuke, Takeo
× Daisuke, Takeo
|
|||||||
| 論文抄録 | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | 攻撃者が不正アクセスを行う場合,攻撃者の身元を隠すために複数の踏み台ホストを経由する踏み台攻撃を行っている場合が多い.このような攻撃を検出する方式として,これまで踏み台ホストをはさんだリモートログインストロークの時間的な相関関係を見るという方法があった.しかし,この方法では踏み台ホストへのアクセスと踏み台ホストから被害ホストへのアクセスがともにリモートログインである場合に限定されることになり,踏み台ホストから被害ホストへのアクセスがFTP のような場合は検出できない.また,検出に数十秒の時間が必要である.本論文では,このような踏み台攻撃を検出するため,踏み台ホストに対するリモートログイン操作の終了と同期して踏み台ホストから被害ホストに対してTCP コネクションの確立要求が送信されることに着目する.すなわち,踏み台ホスト宛のリモートログインパケットと,踏み台ホストから送信されるTCP のSYN パケットを監視することによって,リアルタイムに踏み台攻撃を検出するコネクションベース方式を提案する.提案方式をネットワークモニタ装置に実装して動作検証を行った結果,対象とする踏み台攻撃を確実に検出できることを確認した. | |||||||
| 論文抄録(英) | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | Attackers usually use Stepping-stone attacks in order to hide their identity. To detect these kinds of attacks, timing-based method is conventionally used that detects the correlation of the traffic between receiving packets and sending packets at the Stepping-stone. However, this method can detect only remote-login chains and it takes tens of seconds. In this paper, we focus on the fact that a Stepping-stone always begins a TCP connection after receiving command sequence from the attacker. We propose a connection-based method that detects two specific TCP packets are within a certain period of time. The two packets are, a TCP SYN packet which is transmitted from a Stepping-stone to a target, and a remote-login packet that is transmitted from an attacker to a Stepping-stone. The proposed method can detect not only remote-login chains, but all kinds of Stepping-stone attacks immediately. We implemented our proposed connection-based method in a network monitor device and confirmed that the device effectively detect the attacks. | |||||||
| 書誌レコードID | ||||||||
| 収録物識別子タイプ | NCID | |||||||
| 収録物識別子 | AN00116647 | |||||||
| 書誌情報 |
情報処理学会論文誌 巻 48, 号 2, p. 644-655, 発行日 2007-02-15 |
|||||||
| ISSN | ||||||||
| 収録物識別子タイプ | ISSN | |||||||
| 収録物識別子 | 1882-7764 | |||||||
