Item type |
SIG Technical Reports(1) |
公開日 |
2022-05-12 |
タイトル |
|
|
タイトル |
ハニーポットによる攻撃観測と多角的分析のための統合アーキテクチャの提案 |
タイトル |
|
|
言語 |
en |
|
タイトル |
Integrated Architecture for Honeypot Observation and Multipurpose Analysis |
言語 |
|
|
言語 |
jpn |
キーワード |
|
|
主題Scheme |
Other |
|
主題 |
CSEC |
資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
著者所属 |
|
|
|
横浜国立大学先端科学高等研究院 |
著者所属 |
|
|
|
横浜国立大学理工学部数物・電子情報系学科 |
著者所属 |
|
|
|
横浜国立大学大学院環境情報学府 |
著者所属 |
|
|
|
横浜国立大学大学院環境情報学府 |
著者所属 |
|
|
|
横浜国立大学大学院環境情報学府 |
著者所属 |
|
|
|
横浜国立大学理工学部数物・電子情報系学科 |
著者所属 |
|
|
|
横浜国立大学理工学部数物・電子情報系学科 |
著者所属 |
|
|
|
横浜国立大学先端科学高等研究院/レインフォレスト |
著者所属 |
|
|
|
横浜国立大学大学院環境情報研究院/横浜国立大学先端科学高等研究院 |
著者所属 |
|
|
|
横浜国立大学大学院環境情報研究院/横浜国立大学先端科学高等研究院 |
著者名 |
佐々木, 貴之
九鬼, 琉
植田, 岳洋
鮫嶋, 海地
Guo, Binnan
市川, 詩恩
山口, 陽平
岡田, 晃市郎
吉岡, 克成
松本, 勉
|
著者名(英) |
Takayuki, Sasaki
Ryu, Kuki
Takahiro, Ueda
Kaichi, Sameshima
Binnan, Guo
Shion, Ichikawa
Youhei, Yamaguchi
Kouichirou, Okada
Katsunari, Yoshioka
Tsutomu, Matsumoto
|
論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
IoT 機器を対象としたサイバー攻撃の動向を明らかにするために,IoT 機器を模倣したハニーポットを運用しており,2021 年は 1 年間で約 4 千万件のスキャンや攻撃を観測し,のべ 8 千を超えるマルウェア検体を収集した.サイバー攻撃の実態把握のために,これらの観測データを解析し,攻撃の対象となっている機器や脆弱性を明らかにしたい.加えて,攻撃元の振る舞いや,脆弱性の悪用のされ方を分析することができれば,攻撃の背景が明らかになる.さらに,観測データから未知の攻撃を発見できれば,迅速な対策の実施に繋がる.これらを実現するためには,ハニーポットで観測した大量のデータや収集した多様な検体を効率的に解析する必要がある.そこで,ハニーポット,動的解析,ルールベースの攻撃タグ付けを組み合わせ,攻撃観測と分析を統合したアーキテクチャを提案する.本アーキテクチャの特徴は,(1) ハニーポットで収集した検体を自動的に動的解析し,疑似インターネットとの通信を観測することにより,マルウェアが行う攻撃を抽出する点と,(2) ハニーポットで観測した攻撃や,検体の動的解析で観測した攻撃について,ルールに基づいて自動的に CVE 番号や攻撃対象機器をタグ付けする点にある.プロトタイプを実装し評価実験を行った結果,50 件を超える脆弱性を狙う攻撃がハニーポットで観測されていることが明らかになった.加えて,動的解析中にマルウェアが行った攻撃の対象の CVE とハニーポットで観測された攻撃対象の CVE の関係を分析したところ,動的解析で観測した攻撃の 85% はハニーポットでも観測されていた. |
論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
We have operated honeypots to observe cyberattacks against IoT devices and observed 40M accesses and over 8K malware samples in 2021. The goals of the observation are the identification of target devices and vulnerabilities. In addition, understanding attackers' behaviors and misuse of the vulnerabilities is another goal to deploy adequate measures. Furthermore, if we can find zero-day vulnerabilities from the attacks, quick responses against the attacks can be realized. Towards these goals, we propose an architecture comprising honeypots, dynamic analysis, and rule-based attack tagging. Features of the architecture are (1) extracting attacks from malware using dynamic analysis and (2) tagging attacks observed by the honeypots and dynamic analysis based on pre-defined rules. We implemented a prototype of the architecture and identified that our honeypot observed over 50 types of attacks. Moreover, we investigated the attacks observed by honeypots and dynamic analysis and identified that CVEs observed by honeypots include 85% of CVEs observed by the dynamic analysis. |
書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AA12326962 |
書誌情報 |
研究報告インターネットと運用技術(IOT)
巻 2022-IOT-57,
号 22,
p. 1-7,
発行日 2022-05-12
|
ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8787 |
Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |