講演抄録/キーワード |
講演名 |
2010-11-18 14:50
ハイブリッド型WebハニーポットWeb Phantomの設計 ○八木 毅・谷本直人・針生剛男・伊藤光恭(NTT) IN2010-85 |
抄録 |
(和) |
本稿では,囮Webサイトの通信先と受信したデータやファイルの文字列を自動解析することで,超多数Webサイトをマルウェア感染から保護するブラックリストを効率的に生成するWebハニーポットWeb Phantomを提案する.近年,クラウドコンピューティングの普及に伴いWebサイトの重要性が高まる一方,Webアプリケーションの脆弱性を悪用してWebサイトをマルウェアに感染させる攻撃が多発している.この攻撃を防御するために攻撃の特徴を明らかにする手段として,攻撃された囮Webサイトの挙動や攻撃の文字列から情報を収集するWebハニーポットが検討されている.しかし,Webサイトへの攻撃の多くはツールで自動生成されているため精度が低く,攻撃が失敗し,収集可能な情報が限定される.Web Phantomは,失敗した攻撃の文字列を機械的に解析して攻撃成功時の挙動を発生させるとともに,ファイルダウンロードが発生した際には,ファイルに記述された文字列を解析し,ブラックリスト生成に有効な情報を自動的に抽出する.インターネットから収集した攻撃を分析した結果,Web Phantomの適用により,ブラックリストに使用可能な情報量が約50%増加することを確認した. |
(英) |
This paper proposes a hybrid web honeypot, namely Web Phantom, which generates a blacklist to prevent malware infection on many websites efficiently. Recently, with widespread of cloud computing, the number of websites is increasing rapidly. On the other hand, by using vulnerabilities in web applications, a large number of websites are infected by malware. To clear characteristics of malware infections on websites, web honeypots are studied. Web honeypots can collect attacks from the Internet and extract information which can be used as a blacklist for filtering attacks to websites. However, conventional web honeypots can collect only limited information from failure attacks which are generated low-accuracy by automatic attack tools. In our Web Phantom, actions of success attacks are generated from failure attacks by analyzing input data of the failure attacks. Moreover, additional information in files, which are downloaded in the actions, is extracted automatically. Our investigation reveals that the amount of information in the blacklist will increase approximately 50% by using Web Phantom. |
キーワード |
(和) |
セキュリティ / マルウェア / Webサイト / Webハニーポット / ブラックリスト / / / |
(英) |
security / malware / website / web honeypot / blacklist / / / |
文献情報 |
信学技報, vol. 110, no. 289, IN2010-85, pp. 25-30, 2010年11月. |
資料番号 |
IN2010-85 |
発行日 |
2010-11-11 (IN) |
ISSN |
Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
IN2010-85 |
|