著者
竹森 敬祐 三宅 優 中尾 康二
出版者
一般社団法人情報処理学会
雑誌
情報処理学会研究報告コンピュータセキュリティ(CSEC) (ISSN:09196072)
巻号頁・発行日
vol.2002, no.68, pp.27-32, 2002-07-18
参考文献数
11
被引用文献数
1

コンテンツの変更を検知してアラームを通知するWebサーバリモート監視システムにおいて,正規の更新によって通知されるアラームの中に,注意すべき改竄アラームが埋もれてしまいかねないという問題が明らかになった.そこで本稿では,監視中のコンテンツに変更を検知した場合,そのコンテンツの特徴や変更前後の変化の様子を解析することで,改竄を的確に検出する改竄判定手法を提案する.提案手法は,改竄にみられる特徴のうち1つでも1つでも該当する項目があれば改竄とみなす手法であり,その判定結果は,正規の更新と改竄を区別して出力する.実際の改竄のデータを用いて提案手法の改竄判定率を評価した結果,小さな誤判定率で全ての改竄を検出できることを確認した.これにより,サイト管理者は改竄アラームに集中できるようになり,検出された改竄の特徴を知らされることで,コンテンツの改竄状況の把握と改竄時の対策を迅速に実施できるようになる.We have developed a remoto patrol system for web servers which detects the change of contents. However, it could not distinguish between regular updata and and unauthorized manipulation. The administrator of web servers may receive many alarms from this system if the contents are updated, frequently. In this paper, we propose detection algorithm of unauthorized manipulation by concentrating on the characteristics on HTML contents as well as the correlation between before and after changes. We could abstract six characteristics, which are so-called signatures to detect manipulations based on the several sample data. We also evaluate our algorithm using many sample data, and as the results our algorithm is quite feasible to detect any types of contents with little miss-detection of faults positive. In conclusion, administrators of web servers detect and manage the unauthorized detection efficiently among their routing works.
著者
竹森 敬祐 藤長 昌彦 西垣 正勝
出版者
一般社団法人情報処理学会
雑誌
情報処理学会研究報告. マルチメディア通信と分散処理研究会報告 (ISSN:09196072)
巻号頁・発行日
vol.2008, no.21, pp.61-66, 2008-03-06
参考文献数
9
被引用文献数
1

Source IPを詐称した攻撃対策として,ネットワークを通過する攻撃パケットを被害者側(Destination)から加害者側(Source)へと遡って追跡するIPトレースバックが注目されている.しかし,トレースバックに必要な機能を,通信経路上の多数のルータに組み込むこと,もしくは専用の装置を多数設置することが導入への障壁となっている.そこで本研究では,既存のDNSサーバのログ,もしくは,DNS通信をキャプチャする装置だけでSource IPを探し出す,詐称IP探索方式を提案する.これは,攻撃の直前に被害者ホストのFully Qualified Domain Name(FQDN)に該当するDestination IPをDNSサーバに問い合わせたログから,Source IPを探し出す手法である.また,Source IPが詐称されていることを,通信に関与しないドメインに漏洩しないように,Source IPとFQDNのハッシュ値を用いて確認する手法と,複数のDNSログを照合することで探索結果の信頼性を向上させる手法についても検討する.本手法の有効性を確認するために,Botから発信されるパケットを収集することで,DNS検索型の攻撃割合を調査する.
著者
竹森 敬祐 三宅 優 田中 俊昭 笹瀬 巌
出版者
一般社団法人情報処理学会
雑誌
情報処理学会研究報告コンピュータセキュリティ(CSEC) (ISSN:09196072)
巻号頁・発行日
vol.2004, no.54, pp.31-36, 2004-05-21
参考文献数
11
被引用文献数
3

昨今,急速にインターネット全域に拡大する攻撃が深刻な問題になっている.ネットワークサービスに影響を与える大規模攻撃やワーム感染ホストが与える局所的な攻撃の確実な検出と迅速な対応,被害規模の把握は重要な課題である.本研究では,侵入検知システム(IDS: Intrusion Detection System)のイベント出力に関する情報理論的な曖昧度を情報エントロピーによって算出し,その長期間の統計分布の平均と標準偏差を用いて,短期間の異常性を評価する手法を提案する.実際のIDSログを用いて局所的攻撃の検出率に関する評価を行い,本手法が未検出率ならびに誤検出率を低減できること,従来からのイベント頻度を用いた異常検出手法と組み合わせることで確実に検出できることを示す.本手法をインターネットの攻撃概況指標へ適用することで,セキュリティ監視者の迅速な対応と情報交換に寄与する.Recently, rapid increasing attacks that influence network services have become critical issues on the Internet. A detection technique for large scale attacks and worm infected hosts needs to estimate degree of its propagation. In this research, we propose an anomaly detection technique for IDS (Intrusion Detection System) events using the information entropy. And the information entropy is adapted to a profiling approach which compares the current information entropy with mean and standard deviations of the past information entropies. Experimental evaluations with real IDS events show that the detection ratio of false positives nd false negatives for the large scale attacks or the worm attacks on our approach is better than that using event counts on previous approach. Furthermore, the combination system of our approach and previous approach is able to detect potential issues perfectly. We also adapt the techniques to a thereat indicator, and its objective alarms effect with quick and reliable response for security operators.
著者
北田 夕子 荒川 豊 竹森 敬祐 渡邊 晃 笹瀬 巌
出版者
一般社団法人電子情報通信学会
雑誌
電子情報通信学会論文誌. D-I, 情報・システム, I-情報処理 (ISSN:09151915)
巻号頁・発行日
vol.88, no.10, pp.1571-1583, 2005-10-01
被引用文献数
8

インターネットに接続点をもたない独立した無線アドホックネットワークでは信頼できる既存の認証局(CA : Certificate Authority)を利用できないため, 各ノードが独自に証明書を発行・管理する公開鍵証明書分散管理方式が提案されている. しかし, この方式は, 各ノードが全証明書を収集するため, メモリ消費量の増加や失効証明書リストの管理などの問題がある. そこで本論文では, 従来方式の課題を解決するために, 各ノードは自身に対して発行された証明書のみをもっておき, 認証要求が発生した時点で, 認証したいノードまでの証明書を収集して信頼の輪を構築するオンデマンド公開鍵証明書分散管理方式を提案する. 証明書の収集には, 被認証ノードにかかわるルーチングテーブル情報を付加してブロードキャストすることで, ブロードキャストが直接届かない被認証ノードも一括して探索することができるアドホック一括ノード探索プロトコル(ASNS : Adhoc Simultaneous Nodes Search)を提案する. 提案プロトコルにより, 提案方式は, 認証に必要な証明書のみを収集するため, ノードのメモリ消費量を削減でき, かつ失効証明書リストの確認処理が不要になる. 計算機シミュレーションにより, 信頼の輪の構築成功率, 信頼の輪を構築するために必要なノード数, 及び信頼の輪の構築に必要な通信量について評価を行い, ノード密度の低いアドホックネットワーク環境に有利であることを示す.
著者
竹森 敬祐 磯原 隆将 川端 秀明 窪田 歩 高野 智秋 可児 潤也 西垣 正勝
出版者
一般社団法人電子情報通信学会
雑誌
電子情報通信学会技術研究報告. ISEC, 情報セキュリティ (ISSN:09135685)
巻号頁・発行日
vol.113, no.135, pp.425-432, 2013-07-11

情報収集モジュールなどを組み込んだスマホアプリからの勝手な情報送信が問題となる中、利用者に送信情報を説明するアプリ向けのプライバシーポリシー(以後、アプリプラポリ)の策定が求められている。我々は、情報送信を伴うアプリとアプリプラポリの実態調査を行い、63%のアプリが情報送信を行い、うち9割がアプリプラポリを持たないか、持っていたとしても送信情報を正しく記載していないことがわかった。そこで本研究では、Marketがアプリの第三者検証機関として審査役を担い、正確で解りやすいアプリプラポリを生成・提示することで、利用者判断を仰ぐフレームワークを提案する。特徴として、アプリ解析力のある技術検証機構を持つことで、誤った申告とアプリプラポリの生成を予防できる。ここで、アプリのダウンロードや利用実績に応じた報酬を支払うレベニューシェアを適用する。これにより、過剰な情報送信や目的が判然としないアプリは利用者から倦厭され、報酬が低下する経済論を働かせる。本手法をアプリMarketに実装・運用した結果、16%のアプリしか情報送信を行わないこと、アプリの趣旨に沿った必要最低限の情報送信に限られることを確認する。
著者
川端 秀明 磯原 隆将 竹森 敬祐 窪田 歩
雑誌
研究報告コンピュータセキュリティ(CSEC)
巻号頁・発行日
vol.2011-CSEC-53, no.3, pp.1-6, 2011-05-05

Android OS の特徴として,利便性の高いアプリケーション (以下,アプリ) を実現するパーミッションという機構があり,アプリケーションのインストール時にユーザが承認することで,端末の情報や機能へのアクセス権を制御している.また,アプリの可用性の向上のために web 機能をアプリに内包する webkit を搭載している.これを用いることで,Android アプリと HTML,CSS,JavaScript など Web アプリとを柔軟に連携できる.しかし,webkit を利用したアプリが,外部サーバから JavaScript を受け取り実行した場合,アプリに与えられたパーミッションの範囲で実行される脅威がある.要するに,アプリ単体では不正な動作をしないが,後から送り込まれた悪意の JavaScript によって端末を操作されてしまう.そこで本研究では,アプリの静的解析により得られるコードの特徴から,後から送り込まれる JavaScript の機能を把握し,潜在的な脅威を推定する手法を提案する.これはアプリの実行コードの逆コンパイルによるコード解析であり,外部サーバの JavaScript から呼び出されるメソッドを特定することで,情報漏洩や端末の不正操作を推定する.
著者
竹森 敬祐 三宅 優 中尾 康二 菅谷 史昭 笹瀬 巌
出版者
一般社団法人電子情報通信学会
雑誌
電子情報通信学会論文誌. A, 基礎・境界 (ISSN:09135707)
巻号頁・発行日
vol.87, no.6, pp.816-825, 2004-06-01
被引用文献数
11

近年,サイバーテロ対策の一環としてSecurity Operation Center(SOC)の設置が進められているが,広域や個々のネットワークを分析するための効率的な手段がない.本論文では,異なる環境のネットワークを集中監視するSOCのために,様々なIntrusion Detection System(IDS)から出力されるログを統合管理して,時間軸上での異常なイベントを客観的に検出するIDSログ分析支援システムを提案する.分析は,過去の長期間のイベント出力特性(長期プロファイルと呼ぶ)に対する最近の短期間のイベント出力特性(短期プロファイルと呼ぶ)の変化の程度を,異常率として評価する.各地で運用されているIDSから収集したログを用いて評価を行い,従来からの頻度分析結果の中から検証の不要なイベントを特定できること,頻度分析で発見が困難であったかすかな痕跡を抽出できることを確認する.本システムは,広域かつ詳細に監視を行えるシステムとして,SOCにおけるログ分析作業の信頼性の向上と効率化に寄与する.