| Item type |
Symposium(1) |
| 公開日 |
2024-10-15 |
| タイトル |
|
|
言語 |
ja |
|
タイトル |
ハニーポットで観測される新規エクスプロイトの分類手法の提案 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Towards the Classification of Newly Exploits Observed by Honeypots |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
ハニーポット,攻撃分析,セキュリティ |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
| 著者所属 |
|
|
|
横浜国立大学理工学部 |
| 著者所属 |
|
|
|
横浜国立大学先端科学高等研究院 |
| 著者所属 |
|
|
|
横浜国立大学先端科学高等研究院 |
| 著者所属 |
|
|
|
横浜国立大学先端科学高等研究院/横浜国立大学大学院環境情報研究院 |
| 著者所属(英) |
|
|
|
en |
|
|
College of Engineering Science, Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
Institute of Advanced Sciences, Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
Institute of Advanced Sciences, Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
Institute of Advanced Sciences, Yokohama National University / Faculty of Environment and Information Sciences |
| 著者名 |
九鬼, 琉
佐々木, 貴之
インミン, パパ
吉岡, 克成
|
| 著者名(英) |
Ryu, Kuki
Takayuki, Sasaki
Yin, Minn Pa Pa
Katsunari, Yoshioka
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
近年,年間に報告される脆弱性の件数は増加の一途を辿っており,全てに直ちに対応することは現実的に困難である.そのため脆弱性対応の必要性や優先度を見極めるトリアージが重要であり,その判断基準の一つとして脆弱性の悪用状況を速やかに把握することが重要である.本研究では,ハニーポット等で観測された膨大な通信リクエストから特に深刻度の高い脆弱性を狙う攻撃を抽出し,そのうち既知のルールにマッチしない新規の攻撃について攻撃リクエストの特徴(シグネチャ)をもとにエクスプロイトごとに分類しオペレータに通知することにより,新規悪用状況の迅速な把握を支援する手法を提案する.本手法により,8ヶ月間の観測期間において3件のゼロデイ攻撃を含む46件の脆弱性を狙う新規の攻撃を検知した.また,一部の脆弱性については製品開発者への報告を行い,早期の修正および悪用状況の周知に貢献した.本手法を用いることで,脆弱性の新規悪用状況を迅速に把握し,脆弱性対応のトリアージ等に有効活用することができる.さらに,ゼロデイやその疑いがある未知の脆弱性を狙うエクスプロイトに対して分類結果を用いて独自の仮識別子を付与することにより,継続的な攻撃監視を始めとした詳細調査に役立てることができる. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
In recent years, the number of vulnerabilities reported per year has continued to increase, and it is difficult to respond to all of them immediately. Therefore, triage to determine the necessity and priority of vulnerability response is important, so it is essential to quickly detect the exploitation status of vulnerabilities, which is used as one of the criteria for triage. In this study, we propose a method to support the rapid identification of new abuse conditions by extracting attacks targeting vulnerabilities of particularly high severity from the large number of traffic observed by honeypots, etc., and classifying each exploit based on the characteristics (signatures) of the attack requests for new attacks that do not match known rules and notifying the operator. Using this method, we detected 46 new attacks targeting vulnerabilities, including 3 zero-day attacks, in 8 months of observation. And we reported on the exploitation of some vulnerabilities to the developers, and contributed towards the early remediation. This method is useful for quickly detecting new exploits of vulnerabilities and triaging vulnerability. Furthermore, by using the classification results to assign original, temporary identifiers to exploits targeting zero-day or suspected vulnerabilities, it is possible to use them for detailed investigations such as continuous attack monitoring. |
| 書誌情報 |
コンピュータセキュリティシンポジウム2024論文集
p. 161-168,
発行日 2024-10-15
|
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-CSS2024022.pdf (738.5 kB)
