SSHパスワードクラッキング攻撃におけるデータサイズを用いる検知手法の提案と運用評価

清水光司; 小刀稱知哉; 小刀稱知哉; 池部実; 吉田和幸

文献

J-GLOBAL ID：201702263775170346 整理番号：17A0495470

SSHパスワードクラッキング攻撃におけるデータサイズを用いる検知手法の提案と運用評価

Proposal for a Detection Method Using Data Size of SSH Password Cracking Attacks and its Operational Evaluations

出版者サイト {{ this.onShowPLink() }} 複写サービスで全文入手 {{ this.onShowCLink("http://jdream3.com/copy/?sid=JGLOBAL&noSystem=1&documentNoArray=17A0495470&COPY=1") }}
高度な検索・分析はJDreamⅢで {{ this.onShowJLink("http://jdream3.com/lp/jglobal/index.html?docNo=17A0495470&from=J-GLOBAL&jstjournalNo=U0452A") }}

著者 (5件)： , , , ,
資料名：
巻： 58 号： 3 ページ： 695-707 (WEB ONLY) 発行年： 2017年03月15日
JST資料番号： U0452A ISSN： 1882-7764 資料種別：逐次刊行物 (A)
記事区分：原著論文発行国：日本 (JPN) 言語：日本語 (JA)

インターネットを利用した不正アクセスが多く発生している。特に,SSHサーバに対する不正アクセスの件数は依然として多い。そこで,我々はSSHへのパスワードクラッキング攻撃を検知することを目的として「SSHパスワードクラッキング攻撃検知システム(SCRAD)」を開発・運用してきた。本システムではSSHサーバと送信元間の1コネクションのパケット送受信回数からパスワードクラッキング攻撃を検知している。従来のシステムの運用結果を分析したところ,scpやrsyncにより少量のデータを送受信する際に正規ユーザを誤検知していた。scpによるコネクションを調査して,パケット数は攻撃者コネクションと類似しているが,データサイズは攻撃者コネクションよりも大きい傾向にあると判明した。本論文では,パケット数による検知手法の誤検知を改善するために,データサイズを用いる検知手法を提案する。また,2014年7月に収集したパケットデータを入力として提案手法と従来のパケット数を用いる検知手法を比較し,提案手法の有用性を検証した結果,攻撃者のコネクション判定率を維持しつつ正規ユーザのコネクション判定率を67.3%から90.1%に改善できた。さらに,2015年2月から2016年5月までの提案手法の運用結果を分析した結果,攻撃者のコネクションを99.7%正確に判定できたが,正規ユーザのコネクション判定率は72.2%であった。提案手法によりSSHパスワードクラッキング攻撃によるSSHサーバへの侵入のリスクを低減できることと,正規ユーザを誤検知することにより,ユーザの利便性を損ねる可能性があることが判明した。(著者抄録)

, , , , , , , , , ,
, , , , ,

データ保護 , 計算機システム運用管理 , その他のシステムプログラミング

引用文献 (10件)：

JPCERT インターネット定点観測レポート(2015年1~3月),入手先 http://www.jpcert.or.jp/tsubame/report/report201501-03.html.
JPCERT インターネット定点観測レポート(2016年 1~3月),入手先 https://www.jpcert.or.jp/tsubame/report/report201601-03.html.
インターネット観測システム(TSUBAME)観測グラフ, 入手先 https://www.jpcert.or.jp/tsubame/graph.html.
清水光司,小刀稱知哉,池部実,吉田和幸:再送パケット除去による SSH パスワードクラッキング攻撃検知システムの検知方法の改善,第67回電気・情報関係学会九州支部連合大会,p.87 (2014).
小刀稱知哉,中本菜桜美,清水光司,池部実,吉田和幸:SSHパスワードクラッキング攻撃検知システムの改善とその運用結果,情報処理学会研究報告(インターネットと運用技術),Vol.2014-IOT-26, No.4, pp.1-7 (2014).

, , , , , , ,

前のページに戻る