SSH総当り攻撃による被害は深刻さを増していることから,管理者にとって,その攻撃への対策は急務である.従来,管理者は,アクセスログやトラフィックから得られる情報を元にSSH総当り攻撃の発生を検出してきた.しかしながら,前者は,ネットワークに存在する全てのサーバのアクセスログを確認することは困難である.また,後者は,攻撃による被害の有無を把握できないことが問題となる.このような問題を解決するため,本稿では,フローの特徴に基づくSSH総当り攻撃検出手法を提案する.実験の結果,提案手法により通常の通信と総当り攻撃に加え,攻撃による被害の有無を高精度で識別できることを確認した.%SSH brute force attack has become more seriously, so administrators are desired to implement its countermeasures. In the traditional ways, the SSH brute force attack has been detected by analyzing access logs and network traffic. However, the former way must check a huge quantity of the logs in all servers, and the latter cannot find victims of the attacks. To solve these problems, we propose SSH brute force attack detection based on the flow features analysis. As the experimental results, we showed to be able to identify the attacks and their victims.
展开▼