| Item type |
Symposium(1) |
| 公開日 |
2019-10-14 |
| タイトル |
|
|
タイトル |
広域スキャンで収集した応答を用いた全ポート待受型Webハニーポット |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Web Honeypot with Full Ports Open Using Responses Collected by Network Scan |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
Webハニーポット,ネットワーク攻撃観測 |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
| 著者所属 |
|
|
|
横浜国立大学大学院環境情報学府 |
| 著者所属 |
|
|
|
横浜国立大学大学院環境情報学府 |
| 著者所属 |
|
|
|
横浜国立大学先端科学高等研究院 |
| 著者所属 |
|
|
|
横浜国立大学大学院環境情報研究院/先端科学高等研究院 |
| 著者所属 |
|
|
|
横浜国立大学大学院環境情報研究院/先端科学高等研究院 |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Environment and Information Sciences, Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Environment and Information Sciences, Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
Institute of Advanced Sciences, Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Environment and Information Sciences, Yokohama National University / Institute of Advanced Sciences, Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Environment and Information Sciences, Yokohama National University / Institute of Advanced Sciences, Yokohama National University |
| 著者名 |
加藤, 誠也
森下, 瞬
田辺, 瑠偉
吉岡, 克成
松本, 勉
|
| 著者名(英) |
Seiya, Kato
Shun, Morishita
Rui, Tanabe
Katsunari, Yoshioka
Tsutomu, Matsumoto
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
インターネット上で起きている攻撃を観測することを目的とした,脆弱なネットワークサービスを模擬するハニーポットが広く運用されている.しかし,Web アプリケーションやWeb サービスの多様化に伴い,標的となっている機器に特有のポートやサービスを動作させないと攻撃を観測できない事例が出てきている.本研究では,広域スキャンにより収集した応答を用いてWeb ハニーポットの観測能力を向上させる方法を提案する.具体的には,ハニーポットを全TCP ポートで待受状態とし,これらのポートへのアクセスを観測する.その後,アクセスのあった宛先ポートや HTTP 通信のアクセス先のパス情報を元に広域スキャンを行い,攻撃対象となっている機器の応答の収集を試みる.そして,ハニーポットに対して同様の攻撃が観測された際に,収集した応答を用いて攻撃対象を模擬する Web ハニーポットを提案する.評価実験では,提案手法を用いて実現したハニーポットと既存のハニーポットをそれぞれ単一の IP アドレスを用いてインターネット上に28 日間公開したところ,提案手法では HTTP リクエスト数が約 28,000 件増加し,8088/tcp では,既存のハニーポットでは観測できなかった攻撃を観測することができた.また,既存のハニーポットと比べて,およそ7 倍に当たる228 件の検体を取得することができた. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Honeypots that simulate vulnerable network services are widely used to observe attacks on the Internet. However, with the diversication of Web applications and Web services running on various connected devices, it is becoming increasingly difficult to observe attacks on specic ports and services on specic target devices. In this study, we propose a method to improve the observability of Web honeypot using responses collected by network scan. Namely, we first prepare honeypots that listen on all TCP ports to observe various incoming requests on these ports. Then, we scan the Internet with sanitized version of these requests to collect corresponding responses from potential target devices. Finally, we deploy the collected responses to the honeypot to emulate the target devices. In the evaluation experiment, we assigned a single IP address to each honeypot and observed the attacks for 28 days. The number of observed HTTP requests increased by about 28,000 and particularly, a new attack on 8088/tcp was observed by the proposed honeypot.Moreover, 228 malware binaries were captured by the proposed honeypot, which is approximately seven times as many as that of the existing honeypot. |
| 書誌レコードID |
|
|
|
識別子タイプ |
NCID |
|
|
関連識別子 |
ISSN 1882-0840 |
| 書誌情報 |
コンピュータセキュリティシンポジウム2019論文集
巻 2019,
p. 652-659,
発行日 2019-10-14
|
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJCSS2019093.pdf (558.7 kB)
