2015 Fiscal Year Annual Research Report
ステルシーSSH辞書攻撃のフローベース検出手法に関する研究
| Project/Area Number |
25330154
|
|---|
| Research Institution | Kyushu Institute of Technology |
|---|
Principal Investigator |
中村 豊 九州工業大学, 情報科学センター, 准教授 (40346317)
|
|---|
| Project Period (FY) |
2013-04-01 – 2016-03-31
|
| Keywords | SSH辞書攻撃 |
|---|
| Outline of Annual Research Achievements |
インターネットでは多くのサーバで動作している SSH サービスは安全な通信を実現するための重要な基盤技術の一つである。従来の異常検知・侵入検知システムにおいて、slow-motion 辞書攻撃や分散辞書攻撃を検出するシステムは存在しない。そこで本研究では SSH 辞書攻撃に対してトラヒックモニタリングを用いて実現するために、(1)SSH セッションにおけるフローの抽出、(2)SSH 通信におけるサブプロトコルの解析、(3)ユーザ認証パケットにおける inter-arrival time の解析の 3 つのサブテーマに関して取り組んできた。
平成27年度では、これまでの結果を踏まえ、手法の改良を行うとともに、さらに実用性の高い方式を目指し、SSH サブプロコトルの詳細な解析や、鍵認証時の振る舞いなどの識別に取り組んだ。平成27年度では、通常の SSH 通信と SSH 辞書攻撃を含んだトラヒックデータを解析した。通常の SSH 通信と SSH 攻撃パケットにおけるユーザ認証パケットの inter-arrival time の累積分布を調べると、通常の SSH 通信では 2 秒以上の時間間隔が存在することが分かるが、攻撃パケットの場合は、ほぼ 1 秒以内となっていた。これらによりinter-arrival timeの差を計測することで攻撃であるのか、通常の SSH 通信であるのかの判断が可能となった。
|
