HIDSアラート調査のためのHTTPリクエストとホストイベントの関連付け手法

鐘本, 楊; 青木, 一史; 三好, 潤; 小谷, 大祐; 岡部, 寿男; Yo, Kanemoto; Kazufumi, Aoki; Jun, Miyoshi; Daisuke, Kotani; Yasuo, Okabe

WEKO3

インデックスツリー

RootNode

アイテム

HIDSアラート調査のためのHTTPリクエストとホストイベントの関連付け手法

https://doi.org/10.20729/00204512

名前 / ファイル	ライセンス	アクション
IPSJ-JNL6105006.pdf (1.1 MB)	Copyright (c) 2020 by the Information Processing Society of Japan
オープンアクセス

Item type

Journal(1)

公開日

2020-05-15

タイトル

HIDSアラート調査のためのHTTPリクエストとホストイベントの関連付け手法

タイトル

言語

タイトル

Correlating HTTP Request with Host Events for Efficient Host based Intrusion Detection Alert Analysis

言語

jpn

キーワード

主題Scheme

Other

主題

[一般論文] Webセキュリティ，HIDS，イベント関連付け，システムコール

資源タイプ

資源タイプ識別子

http://purl.org/coar/resource_type/c_6501

資源タイプ

journal article

ID登録

10.20729/00204512

ID登録タイプ

JaLC

著者所属

NTTセキュアプラットフォーム研究所／京都大学大学院情報学研究科

著者所属

NTTセキュアプラットフォーム研究所

著者所属

NTTセキュアプラットフォーム研究所

著者所属

京都大学学術情報メディアセンター

著者所属

京都大学学術情報メディアセンター

著者所属(英)

NTT Secure Platform Laboratories / Graduate School of Informatics, Kyoto University

著者所属(英)

NTT Secure Platform Laboratories

著者所属(英)

NTT Secure Platform Laboratories

著者所属(英)

Academic Center for Computing and Media Studies, Kyoto University

著者所属(英)

Academic Center for Computing and Media Studies, Kyoto University

著者名

鐘本, 楊
青木, 一史
三好, 潤
小谷, 大祐
岡部, 寿男

著者名(英)

Yo, Kanemoto
Kazufumi, Aoki
Jun, Miyoshi
Daisuke, Kotani
Yasuo, Okabe

論文抄録

内容記述タイプ

Other

内容記述

攻撃ツールの進化によりWebアプリケーションに対する攻撃数は増加の一途をたどっている．IDSはこれらの攻撃を検知し，システム管理者に通知する役割を担っている．IDSはその形態からネットワーク型（NIDS）およびホスト型（HIDS）に大別される．HIDSはホスト上で観測できる細かなイベントに基づいて攻撃の成否を判定できるためより精度が高い通知が可能である．しかし，システムコールやデータベースへのSQLクエリ発行の情報のみを入力として利用しており，これらの情報がどのHTTPリクエストによって発生したものであるか関連付いていない．そのため，被害の原因調査に必要な攻撃対象のWebアプリケーションのURLや攻撃元などの情報を出力できず，管理者がこれらの情報を手動で特定する必要があり，時間を要する．本研究では，HIDSの入力であるシステムコールやSQLクエリ発行などのイベントをそれらを発生させたHTTPリクエストを処理したスレッドのIDと高精度な処理開始および終了時刻に基づいて関連付けを行うことで，HIDSで検知した際に管理者が攻撃対象のWebアプリケーションのURLや攻撃元のIPアドレスを特定できるようにする．評価では，提案手法が誤った関連付けをすることがなく，Webアプリケーションに与えるパフォーマンス低下を5%程度に抑えた実用的な手法であることを示す．

論文抄録(英)

内容記述タイプ

Other

内容記述

The number of attacks against web applications has been increasing due to the evolution of attack tools. IDS is responsible for detecting these attacks and notifying system administrators. IDS is roughly classified into two types: network type (NIDS) and host type (HIDS). NIDS is easy to deploy, but the number of alerts becomes large because NIDS send alerts when an attack was failed too. Since HIDS only notifies when the attack is successful, more accurate notification is possible. However, it is not possible that HIDS outputs information such as the URL of the target web application or the attack source that is necessary for investigating the cause of the attack, because HIDS uses only system call and SQL query which is not correlated to which HTTP request. Therefore, administrators need to identify this information manually, which takes time. In this paper, we propose a method to correlate system calls and SQL query with HTTP requests. To do so, when HIDS detected an abnormal system call or an abnormal SQL query, the administrator can identify information related to the attacked web application. The evaluation results show the proposed method is practical because it achieves no incorrect correlation and only 5% performance degradation.

書誌レコードID

収録物識別子タイプ

NCID

収録物識別子

AN00116647

書誌情報

情報処理学会論文誌

巻 61, 号 5, p. 1080-1091, 発行日 2020-05-15

ISSN

収録物識別子タイプ

ISSN

収録物識別子

1882-7764

戻る

views

See details

	Views

Versions

Ver.1

2025-01-19 20:06:32.041002

Show All versions

Cite as

鐘本, 楊, 青木, 一史, 三好, 潤, 小谷, 大祐, 岡部, 寿男, 2020: 1080–1091 p.

エクスポート

OAI-PMH

JPCOAR
DublinCore
DDI

Other Formats

JSON
BIBTEX

インデックスリンク

インデックスツリー

アイテム

HIDSアラート調査のためのHTTPリクエストとホストイベントの関連付け手法

× 鐘本, 楊

× 青木, 一史

× 三好, 潤

× 小谷, 大祐

× 岡部, 寿男

× Yo, Kanemoto

× Kazufumi, Aoki

× Jun, Miyoshi

× Daisuke, Kotani

× Yasuo, Okabe

Versions

Share

Cite as

エクスポート