| 講演名 | 2013-11-12 Webサイトへの攻撃に対する多段型トラヒック分析方式の評価(通信セキュリティ,一般) 八木 毅, 針生 剛男, 高倉 弘喜, |
|---|---|
| PDFダウンロードページ |  PDFダウンロードページへ |
| 抄録(和) | Webサイトへの攻撃を高い精度で検知するためには,攻撃を検知する際の根拠情報となる,攻撃の特徴情報を収集する必要がある.攻撃の特徴情報を収集する主要な方法として,ハニーポットで攻撃を収集する方式がある.この際ハニーポットの運用コストの観点から,攻撃収集の効率化が課題となる.また,特定のユーザ環境に特化した攻撃は,ハニーポットでは収集できないという課題もある.提案方式では,攻撃者が送信するHTTPリクエストメッセージの宛先URI情報を用いてWbbサイトへの攻撃を検知する際に,Webサイトへのアクセスの宛先URIを,宛先パラメータを示す部分情報とパラメータへの入力値を示す部分情報とで分割して監査する.さらに,例えば宛先パラメータを用いて攻撃を検知した場合,攻撃に使用された入力値を抽出し,当該入力値を用いて再度Webサイトへのアクセスログから攻撃検知を試行する.提案方式では,このようなログ監査を繰り返し実施することで,ユーザ環境のアクセスログを用いて既知の攻撃の特徴情報を増加させ,攻撃検知率を改善する.大学トラヒックでのフィールドテスト等により,提案方式によって既知の特徴情報量を数倍に増加させて攻撃検知率を改善できることを確認した. |
| 抄録(英) | This paper proposes a method for increasing the amount of information about malware attack features in order to improve the attack detection rate. This method divides the destination URI of attacks collected by a decoy honeypot system into two portions, the one indicates the address parameter and the other indicates the parameter input value, and uses each portion in turn to monitor website accesses for a match. If a match is discovered, the method judges that access to be an attack and extracts its feature information, which increases the amount of attack feature information. A cross-validation check using multiple honeypots and a field test conducted with actual university traffic showed that this method can increase the amount of attack feature information by several times and improve the attack detection rate. |
| キーワード(和) | Webサイト / 攻撃マルウェア / 多段分析 |
| キーワード(英) | website / attack / malware / multi-stage analysis |
| 資料番号 | ICSS2013-57 |
| 発行日 |
| 研究会情報 | |
| 研究会 | ICSS |
|---|---|
| 開催期間 | 2013/11/5(から1日開催) |
| 開催地(和) | |
| 開催地(英) | |
| テーマ(和) | |
| テーマ(英) | |
| 委員長氏名(和) | |
| 委員長氏名(英) | |
| 副委員長氏名(和) | |
| 副委員長氏名(英) | |
| 幹事氏名(和) | |
| 幹事氏名(英) | |
| 幹事補佐氏名(和) | |
| 幹事補佐氏名(英) | |
| 講演論文情報詳細 | |
| 申込み研究会 | Information and Communication System Security (ICSS) |
|---|---|
| 本文の言語 | JPN |
| タイトル(和) | Webサイトへの攻撃に対する多段型トラヒック分析方式の評価(通信セキュリティ,一般) |
| サブタイトル(和) | |
| タイトル(英) | Evaluations of Multi-Stage Traffic Analysis against Attacks on Websites |
| サブタイトル(和) | |
| キーワード(1)(和/英) | Webサイト / website |
| キーワード(2)(和/英) | 攻撃マルウェア / attack |
| キーワード(3)(和/英) | 多段分析 / malware |
| 第 1 著者 氏名(和/英) | 八木 毅 / Takeshi YAGI |
| 第 1 著者 所属(和/英) | NTTセキュアプラットフォーム研究所 NTT Secure Platform Laboratories, NTT Corporation |
| 第 2 著者 氏名(和/英) | 針生 剛男 / Takeo HARIU |
| 第 2 著者 所属(和/英) | NTTセキュアプラットフォーム研究所 NTT Secure Platform Laboratories, NTT Corporation |
| 第 3 著者 氏名(和/英) | 高倉 弘喜 / Hiroki TAKAKURA |
| 第 3 著者 所属(和/英) | 名古屋大学大学院情報科学研究科 Graduate School of Information Science, Nagoya University |
| 発表年月日 | 2013-11-12 |
| 資料番号 | ICSS2013-57 |
| 巻番号(vol) | vol.113 |
| 号番号(no) | 288 |
| ページ範囲 | pp.- |
| ページ数 | 6 |
| 発行日 | |