| Item type |
Journal(1) |
| 公開日 |
2018-02-15 |
| タイトル |
|
|
タイトル |
多数のWebサイトを対象とした攻撃の共起性に基づく悪性アクセス検知手法とその評価 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Detecting Malicious Access Based on Co-occurrence among Multiple Websites |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
[特集:ネットワークサービスと分散処理] Webアクセスログ,ログ分析,ネットワーク監視 |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_6501 |
|
資源タイプ |
journal article |
| 著者所属 |
|
|
|
横浜国立大学/株式会社富士通研究所 |
| 著者所属 |
|
|
|
横浜国立大学環境情報研究院/横浜国立大学先端科学高等研究院 |
| 著者所属 |
|
|
|
横浜国立大学環境情報研究院/横浜国立大学先端科学高等研究院 |
| 著者所属(英) |
|
|
|
en |
|
|
Yokohama National University / FUJITSU LABORATORIES LTD. |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Environment and Information Sciences and Institute of Advanced Sciences, Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Environment and Information Sciences and Institute of Advanced Sciences, Yokohama National University |
| 著者名 |
齊藤, 聡美
吉岡, 克成
松本, 勉
|
| 著者名(英) |
Satomi, Saito
Katsunari, Yoshioka
Tsutomu, Matsumoto
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
インターネットに公開されているWebサイトには,正規ユーザによるアクセスや検索エンジンによる情報収集目的のアクセス,攻撃を目的とした悪意あるアクセス等が日々到達している.我々は,複数Webサイトのアクセスログから,複数Webサイトに送信された悪意あるリクエストを抽出する手法を提案する.本稿では,Webアプリケーションの脆弱性の探索を目的としたリクエストや悪意あるコード挿入を行うリクエストで,送信されるURIにパターンが存在するリクエストを悪意あるリクエストとして抽出する.提案手法は,複数のWebサイトを管理するWebホスティングサービス管理者が,アクセスログの分析を行う際に適用することを想定し,これらのログにおけるアクセスの送信元IPアドレス,送信先ドメイン,URIの関係性を分析し,しきい値数以上のWebサイトに対して同一のURIを送信した送信元IPアドレスを攻撃元として抽出する.提案手法を,実際のWebホスティングサービスのアクセスログに適用した結果,攻撃元となったIPアドレスを誤検知なく抽出できるしきい値が存在することを示した.さらに,既存のオープンソースのIDS(Intrusion Detection System)およびWAF(Web Application Firewall)ではシグネチャが登録されておらず,検知できない攻撃についても提案手法では検知できる事例を確認した.提案手法は単体では見逃し率が高いため,既存の攻撃検知技術と併用することで効果が期待できる. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Websites on the internet accept requests with many kinds of purposes today. For example, normal users for getting contents, search engines for collecting websites properties, attackers for intruding web servers and etc. In this paper, we propose a method for extracting malicious requests from access log collected from multiple websites. We aim to the malicious requests with sending specific URI patterns. Those requests aim to searching vulnerable web applications and inserting malicious codes in those headers. We assume that our method is applied on a website hosting service provider who monitors his websites. Our method analyzes relations among source IP address, destination domain and URI from access log and extracts source IP Addresses who have co-occurrence between destination domains and sent URIs. Those IP addresses sent requests for multiple domains and the URIs are shared among such domains. We apply our method for real access log collected from website hosting service on our university. As a result, our method succeeded extracting malicious source IP addresses without false positives under the specific thresholds. Furthermore, we show malicious requests that cannot be detected by other detecting tools such as IDs (Intrusion Detection System) and WAF (Web Application Firewall). These tools have no signatures that can detect those requests. Our proposal method has high false negative ratio, so we expect that our method performs effectively combined with other detecting systems. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AN00116647 |
| 書誌情報 |
情報処理学会論文誌
巻 59,
号 2,
p. 574-590,
発行日 2018-02-15
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
1882-7764 |
IPSJ-JNL5902043.pdf (2.8 MB)
