| 研究課題/領域番号 |
25330154
|
|---|
| 研究種目 |
基盤研究(C)
|
| 研究機関 | 九州工業大学 |
|---|
研究代表者 |
中村 豊 九州工業大学, 情報科学センター, 准教授 (40346317)
|
|---|
| 研究期間 (年度) |
2013-04-01 – 2016-03-31
|
| キーワード | 総当り攻撃 / フローの特徴 / トラヒック解析 / ネットワーク管理 |
|---|
| 研究概要 |
平成25年度では、SSHセッションにおけるフローの抽出に関する研究を行った。SSHフローにおけるセッションの開始から終了までのパケット順序と転送バイト数について、SSHプロトコルの仕様に基づいて、パケット順序の解析を行った。また、通信開始から暗号化アルゴリズムの交換、鍵交換を行うまでは、パケット内のペイロードを解析することにより内容を把握することできた。しかし、暗号化が実行されるとホスト内の秘密鍵を持っていないと内容を複合することはできない。そこで平成25年度では、暗号化が実施された後のSSHフローにおいて、攻撃者が接続に成功したのか、失敗したのか、を識別するための手法について提案した。
提案した手法を評価するために、本学のインターネット接続の出入り口において、SSH通信のフローを抽出するためのモニタリング環境の構築した。また、外部からの攻撃を誘導するハニーポットを設置し、実際の攻撃トラヒックが、どの様なパターンで攻撃を実施しているのかの把握を行った。ハニーポットからのデータを解析する事で、実際の攻撃者のSSH通信の特徴を得る事が出来た。具体的には、SSHサブプロトコルにおいて、攻撃が成功した場合と失敗した場合において、サブプロトコルの有無を判定することで攻撃の成否を識別する事が出来た。
サブプロトコルの有無を判定するために、機会学習アルゴリズムを用い、98%の精度で判定する事ができた。
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
2: おおむね順調に進展している
理由
本研究の成果として、国外会議2編を投稿し、発表する事が出来た。
|
| 今後の研究の推進方策 |
引き続きSSHトラヒック解析を行う事で、精度の高いSSH総当り攻撃の検出手法について研究を進めて行く予定である。
|
