2006年5月17日
未知の攻撃コードを安全に収集するための定点観測装置の構築手法
電子情報通信学会技術研究報告(インターネットアーキテクチャ)
- ,
- ,
- ,
- 巻
- 106
- 号
- 62(IA2006 1-10)
- 開始ページ
- 1
- 終了ページ
- 6
- 記述言語
- 日本語
- 掲載種別
- 出版者・発行元
- 電子情報通信学会
インターネット上で展開される攻撃行為の攻撃コード開発者は無作為に選択したインターネット上のノードを対象に試験を行う場合があると考えられる.このような試作段階の攻撃コードを収集解析することにより 当該コードによる攻撃が本格化する前に脆弱性を発見・公表する インターネット攻撃予報システムとして利用できる可能性があり とりわけO-day攻撃に対して有効であると考えられる.ただし既存システム上のどのサービスが攻撃対象となるかを事前に知ることはできず また既存システム上で可能な限りのプロトコル ポートで攻撃を待受けるような設定をしたノードではポートスキャン等により定点観測装置であることが明らかになってしまう.そのため攻撃の兆候に応じて動的に待受けプロトコル ポートを切り替える装置が必要である.また攻撃行為は多様であり とりわけ新種の攻撃コードを採取するためには アクセス制限のない環境下に装置を置くことが求められる.しかしその一方で装置へのアクセス状況のモニタリング・ログ収集については攻撃に晒されない環境下で行う必要があり 装置のOS制御権が奪われた場合でも 装置制御用のチャネルを通じて装置制御用の機器の制御権まで奪われることのないようにする必要がある.本論文では 上記の要求を満たすシステムを 仮想マシンを利用して 安全にかつ可搬性高く構築する方法について提案する.
- リンク情報
- ID情報
-
- ISSN : 0913-5685
- J-Global ID : 200902299697553697
- CiNii Articles ID : 110004741031
- CiNii Books ID : AA11553608