不正アクセス記録を安全に取得するための Honeypot の実装と評価

宮本大輔(0051107)


既存の不正アクセス対策手法は,既知の不正アクセスに対してトラフィックを遮断するなどの対策を行うことが可能である.しかし,未知の不正アクセスには対策を行うことができない.このためトラフィックのヘッダに含まれる IP アドレスやポート番号から不正アクセスの傾向を分析し,トラフィクのペイロードに含まれる内容から不正アクセスによる侵入を分析することより,未知の不正アクセスを発見する方法が用いられている.

不正アクセスの傾向を分析するには,不正アクセスを収集する必要がある.しかし,悪意ある第三者はスキャンによって脆弱性が得られたホストに対してのみ不正アクセスを行うため,不正アクセスの収集は難しい.

また,侵入を試みる不正アクセスの内容を分析するため,Honeypot を用いて侵入記録を取得し,攻撃によるトラフィックと照合して未知の不正アクセスを発見する手法が試みられている.さらに,侵入者が他のホストに攻撃する際に Honeypot を用いた場合,侵入者の戦略や行動,あるいは不正アクセスを行うツールを取得でき,未知の不正アクセスをより効率よく発見することが可能となる.しかし従来の Honeypot では,ホストが Honeypot であることが察知されやすく,侵入者は Honeypot を用いて他のホストに攻撃を行わない問題があった.

本研究では,ネットワーク型の Honeypot,ホスト型の Honeypot という Honeypot の分類を提案する.さらに,不正アクセスの傾向を分析するために,ネットワークアーキテクチャを変更することより, スキャンに対し誤検出を促し,不正アクセスを収集するネットワーク型の Honeypot を実現する.