2013 Fiscal Year Research-status Report
ステルシーSSH辞書攻撃のフローベース検出手法に関する研究
| Project/Area Number |
25330154
|
|---|
| Research Category |
Grant-in-Aid for Scientific Research (C)
|
| Research Institution | Kyushu Institute of Technology |
|---|
Principal Investigator |
中村 豊 九州工業大学, 情報科学センター, 准教授 (40346317)
|
|---|
| Project Period (FY) |
2013-04-01 – 2016-03-31
|
| Keywords | 総当り攻撃 / フローの特徴 / トラヒック解析 / ネットワーク管理 |
|---|
| Research Abstract |
平成25年度では、SSHセッションにおけるフローの抽出に関する研究を行った。SSHフローにおけるセッションの開始から終了までのパケット順序と転送バイト数について、SSHプロトコルの仕様に基づいて、パケット順序の解析を行った。また、通信開始から暗号化アルゴリズムの交換、鍵交換を行うまでは、パケット内のペイロードを解析することにより内容を把握することできた。しかし、暗号化が実行されるとホスト内の秘密鍵を持っていないと内容を複合することはできない。そこで平成25年度では、暗号化が実施された後のSSHフローにおいて、攻撃者が接続に成功したのか、失敗したのか、を識別するための手法について提案した。
提案した手法を評価するために、本学のインターネット接続の出入り口において、SSH通信のフローを抽出するためのモニタリング環境の構築した。また、外部からの攻撃を誘導するハニーポットを設置し、実際の攻撃トラヒックが、どの様なパターンで攻撃を実施しているのかの把握を行った。ハニーポットからのデータを解析する事で、実際の攻撃者のSSH通信の特徴を得る事が出来た。具体的には、SSHサブプロトコルにおいて、攻撃が成功した場合と失敗した場合において、サブプロトコルの有無を判定することで攻撃の成否を識別する事が出来た。
サブプロトコルの有無を判定するために、機会学習アルゴリズムを用い、98%の精度で判定する事ができた。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
本研究の成果として、国外会議2編を投稿し、発表する事が出来た。
|
| Strategy for Future Research Activity |
引き続きSSHトラヒック解析を行う事で、精度の高いSSH総当り攻撃の検出手法について研究を進めて行く予定である。
|
