講演抄録/キーワード |
講演名 |
2009-07-10 11:25
プロバイダによるWebサイトへのマルウェア配布防御方式 ○八木 毅・谷本直人・浜田雅樹・伊藤光恭(NTT) IN2009-34 |
抄録 |
(和) |
本稿では,攻撃者がWebサイトをマルウェアに感染させる攻撃をプロバイダが検知制御する方式を提案する.近年,Webアプリケーションのぜい弱性を利用してWeb サイトをマルウェアに感染させ,踏み台として悪用する攻撃が増加している.この攻撃への対策としてWeb Application Firewall が適用されている.Web Application Firewall は,セキュリティベンダがWebアプリケーションのぜい弱性や既知の攻撃を解析した結果を用いて,攻撃者からのアクセスを検知制御する.このため,超多数Webアプリケーションが動作するプロバイダ環境では,新しい攻撃への対処時間の増加や攻撃検知精度の低下が顕在化する.そこで,提案方式では,ぜい弱性なWebアプリケーションを搭載した囮WebサイトでWebハニーネットを構築し,Webハニーネットへの通信内容のみを用いて攻撃検知ルールを機械的に生成する.この方式では,Webハニーネットからのプログラムダウンロード要求を検知した際に,その宛先を攻撃者がマルウェア配布のために設置したマルウェアダウンロードサイトとして検知する.さらに,ユーザのWebサイトからこの宛先への通信をフィルタする.実機評価の結果,従来方式と比較して,新しい攻撃への対処時間の短縮化と攻撃検知精度の向上が確認できた. |
(英) |
This paper proposes a website protection scheme for service providers by analyzing accesses to web honeynets, which carry vulnerable web applications. Recently, vulnerabilities of web applications cause the security exposures of computer networks. In fact, a large number of websites are abused to attack other websites or user terminals. To perform these abuses, attackers make websites download malware by exploiting web application vulnerabilities. A web application firewall,
which is used to protect websites, filters accesses from attackers by using signatures, which are generated by analyzing vulnerabilities and known attacks. However, it is difficult to improve accuracy of signature-based detection/filtering in the environment of a service provider where various configurations of websites coexist. In our proposal, websites are protected by using access information toward the web honeynets which is generated automatically and updated dynamically. In our proposal,
any attacks including unknown attacks can be filtered without any analysis about vulnerabilities of web applications. By using
a prototype system, we have confirmed that our method can detect attacks more accurately than the web application firewall. |
キーワード |
(和) |
セキュリティ / マルウェア / ハニーネット / Webサイト / マルウェアダウンロードサイト / / / |
(英) |
security / malware / honeynets / websites / malware download sites / / / |
文献情報 |
信学技報, vol. 109, no. 119, IN2009-34, pp. 55-60, 2009年7月. |
資料番号 |
IN2009-34 |
発行日 |
2009-07-02 (IN) |
ISSN |
Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
IN2009-34 |