| Item type |
SIG Technical Reports(1) |
| 公開日 |
2022-05-12 |
| タイトル |
|
|
タイトル |
ハニーポットで観測されたサイバー攻撃の対象機器及び脆弱性の自動推定手法の提案 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Towards Identification of Targeted Devices and Vulnerabilities from Cyber-attacks Observed by Honeypots |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
CSEC |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
| 著者所属 |
|
|
|
横浜国立大学理工学部数物・電子情報系学科 |
| 著者所属 |
|
|
|
横浜国立大学大学院環境情報学府 |
| 著者所属 |
|
|
|
横浜国立大学先端科学高等研究院 |
| 著者所属 |
|
|
|
横浜国立大学大学院環境情報研究院/横浜国立大学先端科学高等研究院 |
| 著者所属 |
|
|
|
横浜国立大学大学院環境情報研究院/横浜国立大学先端科学高等研究院 |
| 著者名 |
九鬼, 琉
植田, 岳洋
佐々木, 貴之
吉岡, 克成
松本, 勉
|
| 著者名(英) |
Ryu, Kuki
Takahiro, Ueda
Takayuki, Sasaki
Katsunari, Yoshioka
Tsutomu, Matsumoto
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
近年,IoT の発展に伴い,IoT 機器への攻撃が活発化している.これらの攻撃実態を把握するため,我々は IoT 機器を模倣したハニーポットを設置し,1 ヶ月あたり平均 55,000 件の攻撃を観測している.ハニーポットで観測される攻撃がどのような脆弱性・機器を狙ったものであるのかを把握することは,攻撃の傾向を把握し適切な対応を行っていくために必要不可欠である.そのため,我々はハニーポットで観測した攻撃に対して攻撃対象の脆弱性や機器の情報を紐付けるためのタグ付けを行っているが,タグ付けを行うためのルール作成はこれまで人手で行ってきた.しかし,1 ヶ月あたり平均 55,000 件という膨大かつ多様な攻撃に対し,それらのタグ付けルールの作成を全て人手で行うことは現実的ではない.本論文では,観測した攻撃に対して低コストかつ網羅的な分析を行うために,観測した攻撃の特徴 (シグネチャ) と攻撃対象の脆弱性や機器の情報を紐付けるためのタグ付けルールを自動的に生成する手法を提案する.提案手法は,ハニーポットのイベントログから攻撃の特徴となるシグネチャを生成し,NVD や Exploit Database などの公開脆弱性データベース (VDB) よりシグネチャに関連する情報を自動で収集することにより,シグネチャと攻撃対象の脆弱性や付加情報を紐付けるためのタグ付けルールの生成を行う.提案手法を用いて,人手でタグ付けルールを作成済みの攻撃ログに対し攻撃情報の自動推定及びタグ付けルールの生成を行った結果,83.2% の攻撃に対して正しいルール生成に成功し,誤ったルールの生成は 3.2% であった. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
With the development of IoT, cyber-attacks against IoT devices have increased. To monitor these attacks, we have operated honeypots that imitate IoT devices and have observed 55,000 attacks per month on average. To understand attack trends and take appropriate measures, it is essential to understand cyber-attacks target which vulnerabilities and devices. We manually created tagging rules and tagged a part of cyber-attacks observed by honeypots with vulnerabilities and target devices. However, it is unrealistic to create tagging rules for many types of attacks observed by the honeypots. In this paper, we propose an automatic tagging rule generation method to link observed attack characteristics (signature) with vulnerabilities and devices, to analyze observed attacks in a low-cost and comprehensive way. This method generates signatures each of which characterizes an attack observed by a honeypot. Then, the method collects information related to the signature from public vulnerability databases (VDB), such as NVD and Exploit Database, and generates tagging rules to associate the signatures with attack information such as CVE numbers and target devices. We implemented the method, and an evaluation result showed that correct tagging rules were successfully generated for 83.2% of the attacks, and incorrect tagging rules were generated only for 3.2% of the attacks. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AA11235941 |
| 書誌情報 |
研究報告コンピュータセキュリティ(CSEC)
巻 2022-CSEC-97,
号 21,
p. 1-7,
発行日 2022-05-12
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8655 |
| Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-CSEC22097021.pdf (2.8 MB)
