| Item type |
Journal(1) |
| 公開日 |
2017-03-15 |
| タイトル |
|
|
タイトル |
SSHパスワードクラッキング攻撃におけるデータサイズを用いる検知手法の提案と運用評価 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Proposal for a Detection Method Using Data Size of SSH Password Cracking Attacks and its Operational Evaluations |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
[特集:IoT時代のインターネットと運用技術 (特選論文) ] SSH,パスワードクラッキング攻撃,TCP,アノマリ型不正通信検知 |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_6501 |
|
資源タイプ |
journal article |
| 著者所属 |
|
|
|
大分大学大学院工学研究科知能情報システム工学専攻 |
| 著者所属 |
|
|
|
大分大学大学院工学研究科知能情報システム工学専攻/現在,三菱電機株式会社 |
| 著者所属 |
|
|
|
大分大学工学部知能情報システム工学科 |
| 著者所属 |
|
|
|
大分大学学術情報拠点情報基盤センター |
| 著者所属(英) |
|
|
|
en |
|
|
Course of Computer Science and Intelligent Systems, Graduate School of Engineering, Oita University |
| 著者所属(英) |
|
|
|
en |
|
|
Course of Computer Science and Intelligent Systems, Graduate School of Engineering, Oita University / Presently with Mitsubishi Electric corporation |
| 著者所属(英) |
|
|
|
en |
|
|
Department of Computer Science and Intelligent Systems, Faculty of Engineering, Oita University |
| 著者所属(英) |
|
|
|
en |
|
|
Center for Academic Information and Library Services, Oita University |
| 著者名 |
清水, 光司
小刀稱, 知哉
池部, 実
吉田, 和幸
|
| 著者名(英) |
Kouji, Shimizu
Tomoya, Kotone
Minoru, Ikebe
Kazuyuki, Yoshida
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
インターネットを利用した不正アクセスが多く発生している.特に,SSHサーバに対する不正アクセスの件数は依然として多い.そこで,我々はSSHへのパスワードクラッキング攻撃を検知することを目的として「SSHパスワードクラッキング攻撃検知システム(SCRAD)」を開発・運用してきた.本システムではSSHサーバと送信元間の1コネクションのパケット送受信回数からパスワードクラッキング攻撃を検知している.従来のシステムの運用結果を分析したところ,scpやrsyncにより少量のデータを送受信する際に正規ユーザを誤検知していた.scpによるコネクションを調査して,パケット数は攻撃者コネクションと類似しているが,データサイズは攻撃者コネクションよりも大きい傾向にあると判明した.本論文では,パケット数による検知手法の誤検知を改善するために,データサイズを用いる検知手法を提案する.また,2014年7月に収集したパケットデータを入力として提案手法と従来のパケット数を用いる検知手法を比較し,提案手法の有用性を検証した結果,攻撃者のコネクション判定率を維持しつつ正規ユーザのコネクション判定率を67.3%から90.1%に改善できた.さらに,2015年2月から2016年5月までの提案手法の運用結果を分析した結果,攻撃者のコネクションを99.7%正確に判定できたが,正規ユーザのコネクション判定率は72.2%であった.提案手法によりSSHパスワードクラッキング攻撃によるSSHサーバへの侵入のリスクを低減できることと,正規ユーザを誤検知することにより,ユーザの利便性を損ねる可能性があることが判明した. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
There are many malicious attacks in the Internet. In particular, there are many illegal accesses into SSH servers. So, we have been developing a SSH Password Cracking Attack Detection system (called SCRAD) in order to detection for SSH password cracking attacks. Our system detects attacker's connection using the number of packets per connection between a SSH client and server. We analyzed the operational results of SCRAD system. We found some false positives. The cause of false positives was a small amount of data communication using scp or rsync commands by normal users. Therefore, we investigated the connection of scp's communication. As a result, the number of packets is similar to the scp and attacker's connection. However, data size in the scp connection is larger than data size in the attacker's connection. In this paper, we propose a new detection method using data size to avoid the false positives. We compared the packet counts based method and the data size based method. In the experimental results, the attacker detection rate was the same of the two methods. However, the normal user discrimination rate of the data size based method was 22.1% higher than the packet counts based method. We confirmed that the proposed method is effective for the SSH password cracking attacks. In addition, we are operating the SCRAD system with data size based detection method. We report the operational results of SCRAD from February 2015 to May 2016. The SCRAD was detected 99.7% of attacker's connections. On the other hand, normal user connection discrimination rate was 72.2%. The operational results show that SCRAD reduced the risk of penetrated SSH servers, and SCRAD occured some false positives. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AN00116647 |
| 書誌情報 |
情報処理学会論文誌
巻 58,
号 3,
p. 695-707,
発行日 2017-03-15
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
1882-7764 |
IPSJ-JNL5803010.pdf (2.7 MB)
