@article{oai:ipsj.ixsq.nii.ac.jp:00185864,
 author = {齊藤, 聡美 and 吉岡, 克成 and 松本, 勉 and Satomi, Saito and Katsunari, Yoshioka and Tsutomu, Matsumoto},
 issue = {2},
 journal = {情報処理学会論文誌},
 month = {Feb},
 note = {インターネットに公開されているWebサイトには，正規ユーザによるアクセスや検索エンジンによる情報収集目的のアクセス，攻撃を目的とした悪意あるアクセス等が日々到達している．我々は，複数Webサイトのアクセスログから，複数Webサイトに送信された悪意あるリクエストを抽出する手法を提案する．本稿では，Webアプリケーションの脆弱性の探索を目的としたリクエストや悪意あるコード挿入を行うリクエストで，送信されるURIにパターンが存在するリクエストを悪意あるリクエストとして抽出する．提案手法は，複数のWebサイトを管理するWebホスティングサービス管理者が，アクセスログの分析を行う際に適用することを想定し，これらのログにおけるアクセスの送信元IPアドレス，送信先ドメイン，URIの関係性を分析し，しきい値数以上のWebサイトに対して同一のURIを送信した送信元IPアドレスを攻撃元として抽出する．提案手法を，実際のWebホスティングサービスのアクセスログに適用した結果，攻撃元となったIPアドレスを誤検知なく抽出できるしきい値が存在することを示した．さらに，既存のオープンソースのIDS（Intrusion Detection System）およびWAF（Web Application Firewall）ではシグネチャが登録されておらず，検知できない攻撃についても提案手法では検知できる事例を確認した．提案手法は単体では見逃し率が高いため，既存の攻撃検知技術と併用することで効果が期待できる．, Websites on the internet accept requests with many kinds of purposes today. For example, normal users for getting contents, search engines for collecting websites properties, attackers for intruding web servers and etc. In this paper, we propose a method for extracting malicious requests from access log collected from multiple websites. We aim to the malicious requests with sending specific URI patterns. Those requests aim to searching vulnerable web applications and inserting malicious codes in those headers. We assume that our method is applied on a website hosting service provider who monitors his websites. Our method analyzes relations among source IP address, destination domain and URI from access log and extracts source IP Addresses who have co-occurrence between destination domains and sent URIs. Those IP addresses sent requests for multiple domains and the URIs are shared among such domains. We apply our method for real access log collected from website hosting service on our university. As a result, our method succeeded extracting malicious source IP addresses without false positives under the specific thresholds. Furthermore, we show malicious requests that cannot be detected by other detecting tools such as IDs (Intrusion Detection System) and WAF (Web Application Firewall). These tools have no signatures that can detect those requests. Our proposal method has high false negative ratio, so we expect that our method performs effectively combined with other detecting systems.},
 pages = {574--590},
 title = {多数のWebサイトを対象とした攻撃の共起性に基づく悪性アクセス検知手法とその評価},
 volume = {59},
 year = {2018}
}