- 著者
-
谷田貝 健
磯原 隆将
笹瀬 巌
- 出版者
- 一般社団法人情報処理学会
- 雑誌
- 情報処理学会研究報告コンピュータセキュリティ(CSEC) (ISSN:09196072)
- 巻号頁・発行日
- vol.2007, no.48, pp.33-38, 2007-05-25
近年、Web サーバに対するサービス拒否(DoS:Denial of Service)攻撃や分散型サービス拒否(DDoS:Distributed DoS) 攻撃による被害が深刻となっている。これらの攻撃の中には、正常な通信プロトコルで多量の通信を発生させる攻撃もあり、サーバ側での正常な通信と攻撃を見分けることが難しく、既存のセキュリティ対策技術であるウイルス検知システム(VDS:Virus Detection System)や侵入検知システム(IDS:Intrusion Detection System)では検知できないといった問題がある。DoS 攻撃の中でも,HTTP プロトコルの GET メソッドを悪用した HTTP-GET flood 攻撃による被害が発生しており、実際に HTTP サーバがダウンし、サービスの遅延やサーバの停止といった被害が発生している。そこで本論文では、HTTP サーバのアクセスログから、ページのアクセス挙動を解析することで、上記のような HTTP-GET flood 攻撃を検知する方式を提案する。これは、HTTP サーバのアクセスログから、1) コンピュータウイルスなどからの攻撃では、攻撃端末が同じ振る舞いを持つことに注目し、共通する閲覧順序を持つクライアントを攻撃クライアントとみなす手法、2) 本来のクライアントは閲覧ページの情報量が大きな場合に閲覧時間が長くなることに注目して、情報量に依存しない閲覧時間のアクセスを攻撃とみなす手法の2通りから構成される。実際に運用されている HTTP サーバのアクセスログを用いた評価により、HTTP-GET flood 攻撃を迅速に検知できることを確認し、提案方式が本来のクライアントと機械的なアクセスを見ける手法として有効であることを示す。Recently, there are many denial-of-service (DoS) attacks by computer viruses or botnet. DoS attacks to the Web service are called HTTP-GET flood attack and threats of them increase day by day. In this type of attacks, the malicious clients send a large number of HTTP-GET requests to the target HTTP server. Since these HTTP-GET requests have legitimate formats, an intrusion detection system (IDS) can not detect them. In this paper, we propose HTTP-GET flood attack detection techniques based on analysis of page access behavior. We propose two detection algorithms, one is focusing on a browsing order of pages and the other is focusing on a correlation with browsing time to page information size. We implement the proposed scheme and evaluate the attack detection rates, i.e., false positive and false negative. The results show that our techniques can detect the HTTP-GET flood attack effectively.