2014 Fiscal Year Research-status Report
ステルシーSSH辞書攻撃のフローベース検出手法に関する研究
| Project/Area Number |
25330154
|
|---|
| Research Institution | Kyushu Institute of Technology |
|---|
Principal Investigator |
中村 豊 九州工業大学, 情報科学センター, 准教授 (40346317)
|
|---|
| Project Period (FY) |
2013-04-01 – 2016-03-31
|
| Keywords | SSH辞書攻撃 |
|---|
| Outline of Annual Research Achievements |
SSH辞書攻撃は一般的なセキュリティの脅威となっている。SSH通信にはリモートログイン、ファイル転送、TCP/IP転送といった様々な種類の通信が存在し、それらを識別することは暗号化されているため困難である。そこで我々は新たなアプローチとしてSSH通信のユーザ認証に基づいた通信の識別方法を提案した。この提案方法は2つの手法に基づいている。(1)認証のキーストロークに基づいたSSH辞書攻撃の判別。(2)キーストロークでない場合は文字列に依存した処理を行う。SSH通信では、そのプロトコルの柔軟性から鍵認証やアプリケーショントンネリングなどが可能であり、これらを判別するためにフローの挙動およびフローにおけ参照ポイントを発見した。
SSH通信は、3つのサブプロトコルが存在し、それらの遷移点の識別が必要となる。まず初めに機械学習アルゴリズムに対して学習用データを与えて、識別の指標となるデータを取得した。また、キーストロークでない通信の識別のために、ユーザ認証サブプロトコルの起点となるパケットに対して、それ以降のパケットのオフセットを変更することで、ユーザ認証サブプロトコルとコネクションサブプロトコルの遷移点を発見することが可能となった。これにより、キーストロークでないSSH通信における通信の識別が可能となり、SSH辞書攻撃の識別精度を向上させることが可能となった。
実際の評価では、password, chal-resp, publick-key, host-basedの4種類のSSH通信の識別において、キーストロークでないSSH通信の識別率は98%となり、高確率で識別できることが明らかとなった。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
平成25年度から継続して研究を進めているが、これまでの成果をまとめた論文が電子情報通信学会英文論文誌特集号に掲載される事が決定した。
|
| Strategy for Future Research Activity |
ユーザ認証サブプロトコルにおける、inter-arrival timeの解析について取り組む。また、平成25年度に構築したトラヒックモニタリング環境から、実トラヒックを用いたデータ解析を行う。
|
Research Products
(1 results)
