講演抄録/キーワード |
講演名 |
2006-05-24 10:50
未知の攻撃コードを安全に収集するための定点観測装置の構築手法 ○大平健司・宋 中錫・高倉弘喜・岡部寿男(京大) IA2006-1 |
抄録 |
(和) |
インターネット上で展開される攻撃行為の攻撃コード開発者は無作為に選択したインターネット上のノードを対象に試験を行う場合があると考えられる.
このような試作段階の攻撃コードを収集解析することにより,当該コードによる攻撃が本格化する前に脆弱性を発見・公表する,インターネット攻撃予報システムとして利用できる可能性があり,とりわけ0-day攻撃に対して有効であると考えられる.
ただし既存システム上のどのサービスが攻撃対象となるかを事前に知ることはできず,また既存システム上で可能な限りのプロトコル,ポートで攻撃を待受けるような設定をしたノードではポートスキャン等により定点観測装置であることが明らかになってしまう.
そのため攻撃の兆候に応じて動的に待受けプロトコル,ポートを切り替える装置が必要である.
また攻撃行為は多様であり,とりわけ新種の攻撃コードを採取するためには,アクセス制限のない環境下に装置を置くことが求められる.
しかしその一方で装置へのアクセス状況のモニタリング・ログ収集については攻撃に晒されない環境下で行う必要があり,装置のOS制御権が奪われた場合でも,装置制御用のチャネルを通じて装置制御用の機器の制御権まで奪われることのないようにする必要がある.
本論文では,上記の要求を満たすシステムを,仮想マシンを利用して,安全にかつ可搬性高く構築する方法について提案する. |
(英) |
It is considered that an attacker tests his attacking codes by sending them to randomly selected nodes in the Internet.
Collecting and analyzing such beta-version attacking codes are considered to be effective especially against 0-day attacks because they can be used as an attack forecasting system to find and announce such pre-attacking attempts before the attack completes or be spread.
However, we cannot predict which service in a system in operation is attacked.
It is inappropriate to set a node which listens all TCP, UDP and any other ports because it can be revealed that the node is a honeypot by port scanning activity.
It is requested that a honeypot dynamically opens and closes listening ports according to the trend of attacks.
Attacking attempts are very varied.
It is required to set a honeypot in filter-free or DMZ environment in order to collect various and especially new attacking codes.
At the same time, it is required to do access monitoring and log collecting in attack-free environment.
Even if a honeypot falls in an attacker's control, monitoring and log collecting must be secured.
In this paper, we propose a way to construct a safe and portable honeypot system which meets above by using virtual machines. |
キーワード |
(和) |
セキュリティ / 定点観測装置 / 0-day攻撃 / 攻撃予知 / / / / |
(英) |
Security / Honeypot / 0-day Attack / Attack Forecasting / / / / |
文献情報 |
信学技報, vol. 106, no. 62, IA2006-1, pp. 1-6, 2006年5月. |
資料番号 |
IA2006-1 |
発行日 |
2006-05-17 (IA) |
ISSN |
Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
IA2006-1 |
研究会情報 |
研究会 |
IA |
開催期間 |
2006-05-24 - 2006-05-24 |
開催地(和) |
キャンパスプラザ京都 |
開催地(英) |
Campus Plaza Kyoto |
テーマ(和) |
インターネットおよび一般(IPSJ QAI/ITRC共催) |
テーマ(英) |
Internet, etc. |
講演論文情報の詳細 |
申込み研究会 |
IA |
会議コード |
2006-05-IA |
本文の言語 |
日本語 |
タイトル(和) |
未知の攻撃コードを安全に収集するための定点観測装置の構築手法 |
サブタイトル(和) |
|
タイトル(英) |
A Construction Method of a Honeypot System to Safely Collect Unknown Malicious Codes |
サブタイトル(英) |
|
キーワード(1)(和/英) |
セキュリティ / Security |
キーワード(2)(和/英) |
定点観測装置 / Honeypot |
キーワード(3)(和/英) |
0-day攻撃 / 0-day Attack |
キーワード(4)(和/英) |
攻撃予知 / Attack Forecasting |
キーワード(5)(和/英) |
/ |
キーワード(6)(和/英) |
/ |
キーワード(7)(和/英) |
/ |
キーワード(8)(和/英) |
/ |
第1著者 氏名(和/英/ヨミ) |
大平 健司 / Kenji Ohira / オオヒラ ケンジ |
第1著者 所属(和/英) |
京都大学 (略称: 京大)
Kyoto University (略称: Kyoto Univ.) |
第2著者 氏名(和/英/ヨミ) |
宋 中錫 / JungSuk Song / ソン ジュンソク |
第2著者 所属(和/英) |
京都大学 (略称: 京大)
Kyoto University (略称: Kyoto Univ.) |
第3著者 氏名(和/英/ヨミ) |
高倉 弘喜 / Hiroki Takakura / タカクラ ヒロキ |
第3著者 所属(和/英) |
京都大学 (略称: 京大)
Kyoto University (略称: Kyoto Univ.) |
第4著者 氏名(和/英/ヨミ) |
岡部 寿男 / Yasuo Okabe / オカベ ヤスオ |
第4著者 所属(和/英) |
京都大学 (略称: 京大)
Kyoto University (略称: Kyoto Univ.) |
第5著者 氏名(和/英/ヨミ) |
/ / |
第5著者 所属(和/英) |
(略称: )
(略称: ) |
第6著者 氏名(和/英/ヨミ) |
/ / |
第6著者 所属(和/英) |
(略称: )
(略称: ) |
第7著者 氏名(和/英/ヨミ) |
/ / |
第7著者 所属(和/英) |
(略称: )
(略称: ) |
第8著者 氏名(和/英/ヨミ) |
/ / |
第8著者 所属(和/英) |
(略称: )
(略称: ) |
第9著者 氏名(和/英/ヨミ) |
/ / |
第9著者 所属(和/英) |
(略称: )
(略称: ) |
第10著者 氏名(和/英/ヨミ) |
/ / |
第10著者 所属(和/英) |
(略称: )
(略称: ) |
第11著者 氏名(和/英/ヨミ) |
/ / |
第11著者 所属(和/英) |
(略称: )
(略称: ) |
第12著者 氏名(和/英/ヨミ) |
/ / |
第12著者 所属(和/英) |
(略称: )
(略称: ) |
第13著者 氏名(和/英/ヨミ) |
/ / |
第13著者 所属(和/英) |
(略称: )
(略称: ) |
第14著者 氏名(和/英/ヨミ) |
/ / |
第14著者 所属(和/英) |
(略称: )
(略称: ) |
第15著者 氏名(和/英/ヨミ) |
/ / |
第15著者 所属(和/英) |
(略称: )
(略称: ) |
第16著者 氏名(和/英/ヨミ) |
/ / |
第16著者 所属(和/英) |
(略称: )
(略称: ) |
第17著者 氏名(和/英/ヨミ) |
/ / |
第17著者 所属(和/英) |
(略称: )
(略称: ) |
第18著者 氏名(和/英/ヨミ) |
/ / |
第18著者 所属(和/英) |
(略称: )
(略称: ) |
第19著者 氏名(和/英/ヨミ) |
/ / |
第19著者 所属(和/英) |
(略称: )
(略称: ) |
第20著者 氏名(和/英/ヨミ) |
/ / |
第20著者 所属(和/英) |
(略称: )
(略称: ) |
講演者 |
第1著者 |
発表日時 |
2006-05-24 10:50:00 |
発表時間 |
25分 |
申込先研究会 |
IA |
資料番号 |
IA2006-1 |
巻番号(vol) |
vol.106 |
号番号(no) |
no.62 |
ページ範囲 |
pp.1-6 |
ページ数 |
6 |
発行日 |
2006-05-17 (IA) |