| Item type |
SIG Technical Reports(1) |
| 公開日 |
2015-05-14 |
| タイトル |
|
|
タイトル |
ボットネットによるSSHパスワードクラッキング攻撃の検知のための予備調査 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Preliminary investigation for detection of SSH password cracking attacks by botnet |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
運用とセキュリティ |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
| 著者所属 |
|
|
|
大分大学大学院工学研究科知能情報システム工学専攻 |
| 著者所属 |
|
|
|
大分大学大学院工学研究科知能情報システム工学専攻/現在,三菱電機株式会社 |
| 著者所属 |
|
|
|
大分大学工学部知能情報システム工学科 |
| 著者所属 |
|
|
|
大分大学学術情報拠点情報基盤センター |
| 著者所属(英) |
|
|
|
en |
|
|
Course of Computer Science and Intelligent Systems, Graduate School of Engineering, Oita University |
| 著者所属(英) |
|
|
|
en |
|
|
Course of Computer Science and Intelligent Systems, Graduate School of Engineering, Oita University / |
| 著者所属(英) |
|
|
|
en |
|
|
Department of Computer Science and Intelligent Systems, Faculty of Engineering, Oita University |
| 著者所属(英) |
|
|
|
en |
|
|
Center for Academic Information and Library Services, Oita University |
| 著者名 |
清水, 光司
小刀稱, 知哉
池部, 実
吉田, 和幸
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
インターネットを利用した不正アクセスが多く存在する.その中でも,SSH サーバに対する不正アクセス行為の発生件数は依然として多い.そこで,我々は SSH へのパスワードクラッキング攻撃を検知することを目的として 「SSH パスワードクラッキング攻撃検知システム (SCRAD)」 を開発・運用してきた.本システムでは SSH サーバと送信元間の 1 コネクションあたりのパケット送受信回数からパスワードクラッキング攻撃の通信を判断している.SCRAD では,攻撃の通信を 10 回連続で観測した送信元を攻撃者として検知し,遮断する.しかし,運用結果を分析したところ,ボットネットからの攻撃を検知漏れしていた.ボットネットからの攻撃は,異なる IP アドレスから特定の SSH サーバに対して 1 回から 5 回程度仕掛けられるため,1 つの送信元 IP アドレスから連続 10 回攻撃を観測した送信元 IP アドレスを攻撃者として検知する SCRAD の検知基準では検知できなかった.そこで本論文では,ボットネットからの SSH パスワードクラッキング攻撃を分析し,その結果から攻撃を検知するための特徴を調査した.調査結果から,ボットネットからの攻撃には,短時間に異なる送信元 IP アドレスから,1 つの宛先 IP アドレスに対して 1 回から 5 回の攻撃する特徴が判明した.得られた特徴から,1 つの宛先 IP アドレスに対する送信元 IP アドレス数と,仕掛けた攻撃の回数により,ボットネットからの攻撃を検知する. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
There are many malicious attacks in the Internet. In particular, there are many illegal accesses penetrates into SSH servers. So we have been developing a SSH Password Cracking Attack Detection system called SCRAD . Our system detects attacker's connection using the number of packets per connection between the SSH client and server. And, SCRAD denies the source IP address when repeating 10 times of the attacker's connection. However, we found some false negative in the SCRAD's log files. The cause of false negative is botnet. The harder attacks some SSH server from 1 to 5 times. Our system assumed to attack from one source. Therefore, SCRAD couldn't detect attacks from botnet. In this paper, we analyze the characteristics of SSH password cracking attacks from botnet. As a result, we found the three characteristics. The feature of attacks from botnet are to attack from 1 to 5 times to a destination IP address from several source IP address in short term. Therefore, we detect the attack from botnet using unique source IP addresses and attacker's connection to a destination IP address. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AA12326962 |
| 書誌情報 |
研究報告インターネットと運用技術(IOT)
巻 2015-IOT-29,
号 16,
p. 1-7,
発行日 2015-05-14
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8787 |
| Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-IOT15029016.pdf (550.6 kB)
