著者
谷田貝 健 磯原 隆将 笹瀬 巌
出版者
一般社団法人情報処理学会
雑誌
情報処理学会研究報告コンピュータセキュリティ(CSEC) (ISSN:09196072)
巻号頁・発行日
vol.2007, no.48, pp.33-38, 2007-05-25

近年、Web サーバに対するサービス拒否(DoS:Denial of Service)攻撃や分散型サービス拒否(DDoS:Distributed DoS) 攻撃による被害が深刻となっている。これらの攻撃の中には、正常な通信プロトコルで多量の通信を発生させる攻撃もあり、サーバ側での正常な通信と攻撃を見分けることが難しく、既存のセキュリティ対策技術であるウイルス検知システム(VDS:Virus Detection System)や侵入検知システム(IDS:Intrusion Detection System)では検知できないといった問題がある。DoS 攻撃の中でも,HTTP プロトコルの GET メソッドを悪用した HTTP-GET flood 攻撃による被害が発生しており、実際に HTTP サーバがダウンし、サービスの遅延やサーバの停止といった被害が発生している。そこで本論文では、HTTP サーバのアクセスログから、ページのアクセス挙動を解析することで、上記のような HTTP-GET flood 攻撃を検知する方式を提案する。これは、HTTP サーバのアクセスログから、1) コンピュータウイルスなどからの攻撃では、攻撃端末が同じ振る舞いを持つことに注目し、共通する閲覧順序を持つクライアントを攻撃クライアントとみなす手法、2) 本来のクライアントは閲覧ページの情報量が大きな場合に閲覧時間が長くなることに注目して、情報量に依存しない閲覧時間のアクセスを攻撃とみなす手法の2通りから構成される。実際に運用されている HTTP サーバのアクセスログを用いた評価により、HTTP-GET flood 攻撃を迅速に検知できることを確認し、提案方式が本来のクライアントと機械的なアクセスを見ける手法として有効であることを示す。Recently, there are many denial-of-service (DoS) attacks by computer viruses or botnet. DoS attacks to the Web service are called HTTP-GET flood attack and threats of them increase day by day. In this type of attacks, the malicious clients send a large number of HTTP-GET requests to the target HTTP server. Since these HTTP-GET requests have legitimate formats, an intrusion detection system (IDS) can not detect them. In this paper, we propose HTTP-GET flood attack detection techniques based on analysis of page access behavior. We propose two detection algorithms, one is focusing on a browsing order of pages and the other is focusing on a correlation with browsing time to page information size. We implement the proposed scheme and evaluate the attack detection rates, i.e., false positive and false negative. The results show that our techniques can detect the HTTP-GET flood attack effectively.
著者
石井 方邦 谷田貝 健 笹瀬 巌
出版者
一般社団法人電子情報通信学会
雑誌
電子情報通信学会技術研究報告. SITE, 技術と社会・倫理 (ISSN:09135685)
巻号頁・発行日
vol.109, no.114, pp.169-174, 2009-06-25

モバイルアドホックネットワークでは,インフラを想定することが難しいため,分散暗号鍵管理方式が用いられるが,従来では信頼できる第三者機関を用いて鍵生成機能を分散するという問題がある.そこで、本論文では,信頼できる第三者機関を無くすために,初期化時に一定数のノードが互いに部分的な初期化用パラメータを送り、鍵生成機能を幾つかのノードに付加する方法を提案する.また,提案方式は、鍵生成成功率を向上させるために,鍵生成機能を持つノードのネットワーク外への離脱を考慮しID廃棄リストを用いることで鍵生成機能の譲渡を可能とする.計算機シミュレーションにより,ネットワーク内の鍵生成機能を持つノードの数を一定に保つことで,提案方式が従来方式に比べ,鍵生成成功率を向上できることを示す.