| Item type |
Symposium(1) |
| 公開日 |
2016-11-24 |
| タイトル |
|
|
タイトル |
SMTP AUTHに対するパスワードクラッキング攻撃におけるデータサイズを用いた検知システムPASSPIEの提案と評価 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
PASSPIE : Proposal and Evaluation for detection system using data size of SMTP AUTH password cracking attacks |
| 言語 |
|
|
言語 |
jpn |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
| 著者所属 |
|
|
|
大分大学大学院工学研究科知能情報システム工学専攻 |
| 著者所属 |
|
|
|
大分大学工学部知能情報システム工学科 |
| 著者所属 |
|
|
|
大分大学学術情報拠点情報基盤センター |
| 著者所属(英) |
|
|
|
en |
|
|
Course of Computer Science and Intelligent Systems, Graduate School of Engineering, Oita University |
| 著者所属(英) |
|
|
|
en |
|
|
Department of Computer Science and Intelligent Systems, Faculty of Engineering, Oita University |
| 著者所属(英) |
|
|
|
en |
|
|
Center for Academic Information and Library Services, Oita University |
| 著者名 |
清水, 光司
池部, 実
吉田, 和幸
|
| 著者名(英) |
Kouji, Shimizu
Minoru, Ikebe
Kazuyuki, Yoshida
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
SMTP AUTH はメール送信時に送信者がユーザ本人であることを確認するための SMTP 拡張機能である.大分大学のメールサーバにおいて,SMTP AUTH に対するパスワードクラッキング攻撃を観測している.SMTP AUTH パスワードクラッキング攻撃が成功した場合,メールサーバは spam 送信の踏み台にされる危険性がある.そこで,本論文では SMTP AUTH に対するパスワードクラッキング攻撃を検知することを目的として,送信元と SMTP サーバ間のコネクションにおいて送受信するデータサイズに着目した SMTP AUTH に対するパスワードクラッキング攻撃検知システム PASSPIE を提案する.予備調査として,攻撃の通信とメール送信成功時の通信のそれぞれの 1 コネクションあたりの送受信するデータサイズをメールサーバのログから調査した.調査結果から,攻撃の検知のしきい値として,1 コネクションあたりのデータサイズを 1,000 Byte 未満とした.PASSIPIE システムでは,誤検知防止のためにデータサイズが 1,000 Byte 未満のコネクションを連続 10 回観測した送信元 IP アドレスを攻撃者として検知する.提案手法の有用性を,大分大学の SMTP サーバ宛のパケットデータを用いて評価した.実験結果より,検知結果の適合率は 0.51,再現率は 0.86,および F 値は 0.64 となった.誤検知した送信元について調査したところ,メールサーバにより SMTP コネクションが拒否されていた.メールサーバにより拒否された送信元を除けば,PASSPIE システムは SMTP AUTH に対するパスワードクラッキング攻撃を十分に検知できることが判明した. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
SMTP AUTH is an extension of SMTP in order to confirm the validity of an email sender. We have observed SMTP AUTH password cracking attacks to mail servers in Oita University. If the attacker's SMTP password cracking attack is successful, there has a risk that mail server becomes to send spam. In this paper, we propose a detection system for SMTP AUTH password cracking attacks (PASSIPIE). PASSIPIE system detect SMTP AUTH password cracking attacks using data size of connection between SMTP client and server. Firstly, we investigated data size per connection the following cases, (1) Maximum data size of connection in SMTP AUTH password cracking attacks (2) Minimum data size of connection in successful of mail sending. As an investigation result, we decided to detection threshold values of less than 1000 bytes per connection for SMTP AUTH password cracking attacks. Our system detects SMTP client that connect less than 1000 bytes per connection to SMTP server 10 times continuously to avoid false positives. We evaluated the usefulness of PASSPIE using captured SMTP packet data to SMTP server. We calculated Precision, Recall and F-measure: Precision is 0.51, Recall is 0.86, and F-measure is 0.64. As a result, the detection results of PASSPIE system included some false positives. We investigated false positives. Our SMTP server rejected the SMTP clients. Therefore, the data size of false positives is less than benign connections. We confirmed to detect SMTP AUTH password cracking attacks by our PASSIPIE system except for rejected client by mail server. |
| 書誌情報 |
インターネットと運用技術シンポジウム2016論文集
巻 2016,
p. 65-72,
発行日 2016-12-01
|
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-IOTS2016011.pdf (1.5 MB)
