| 研究実績の概要 |
SSH辞書攻撃は一般的なセキュリティの脅威となっている。SSH通信にはリモートログイン、ファイル転送、TCP/IP転送といった様々な種類の通信が存在し、それらを識別することは暗号化されているため困難である。そこで我々は新たなアプローチとしてSSH通信のユーザ認証に基づいた通信の識別方法を提案した。この提案方法は2つの手法に基づいている。(1)認証のキーストロークに基づいたSSH辞書攻撃の判別。(2)キーストロークでない場合は文字列に依存した処理を行う。SSH通信では、そのプロトコルの柔軟性から鍵認証やアプリケーショントンネリングなどが可能であり、これらを判別するためにフローの挙動およびフローにおけ参照ポイントを発見した。
SSH通信は、3つのサブプロトコルが存在し、それらの遷移点の識別が必要となる。まず初めに機械学習アルゴリズムに対して学習用データを与えて、識別の指標となるデータを取得した。また、キーストロークでない通信の識別のために、ユーザ認証サブプロトコルの起点となるパケットに対して、それ以降のパケットのオフセットを変更することで、ユーザ認証サブプロトコルとコネクションサブプロトコルの遷移点を発見することが可能となった。これにより、キーストロークでないSSH通信における通信の識別が可能となり、SSH辞書攻撃の識別精度を向上させることが可能となった。
実際の評価では、password, chal-resp, publick-key, host-basedの4種類のSSH通信の識別において、キーストロークでないSSH通信の識別率は98%となり、高確率で識別できることが明らかとなった。
|
