HTTPプロキシサーバでのCookie挿入によるバックドア通信の検出
書誌事項
- タイトル別名
-
- Detection of Backdoor Communication Based on Cookie Insertion by an HTTP Proxy Server
この論文をさがす
抄録
機密情報窃取を目的とした標的型攻撃が後を絶たない.攻撃者は標的型メールなどを使い,セキュリティ境界内部に侵入し,遠隔操作用バックドアを動作させることにより情報窃取を行う.HTTPを利用し,プロキシサーバに対応するバックドア通信は,通常利用によるブラウザ通信とプロトコル上の差がなく,検出を行うことが困難であり,検出するまでに時間を要する.本論文では,プロキシサーバで任意の情報を挿入し,挿入した情報に対する応答を確認することで,遠隔操作用バックドア通信か,通常のブラウザによる通信かをリアルタイムに判別する方法を提案する.まず,正常通信とバックドア通信で応答が異なるHTTPヘッダの存在を明らかにするとともに,調査結果から判別に使用する情報としてCookieを用いることとした.次に,Cookieを自動挿入するプロキシサーバの実装を行い,標的型攻撃に使用されたバックドアを用いて評価実験を行った.結果として,本方式により検出される遠隔操作用バックドア通信が存在することを確認した.
Targeted Attack aiming at confidential information theft of an organization is increasing. An attacker uses targeted e-mail. They intrude the inside of a security boundary, and operates the backdoor by remote control, and steal information. When HTTP is used to control backdoor, it is very difficult to detect the malicious traffic by inspecting protocol validation, and takes much time to find. In this paper, we devised the method of distinguishing the backdoor communication or usual browser communication by inserting arbitrary information to check the real-time response at an HTTP proxy server. We investigate the HTTP header usage differs backdoor communication with a normal communication, and we decided to insert the Cookie. We implemented automatic insertion function of HTTP Cookie at an HTTP proxy server, and evaluate our method by existing backdoor using targeted attack. As a result, we show that the proposed method can detect such suspicious communication in real time.
収録刊行物
-
- 情報処理学会論文誌
-
情報処理学会論文誌 55 (9), 2008-2020, 2014-09-15
- Tweet
詳細情報 詳細情報について
-
- CRID
- 1050564287857998592
-
- NII論文ID
- 110009822842
-
- NII書誌ID
- AN00116647
-
- ISSN
- 18827764
-
- Web Site
- http://id.nii.ac.jp/1001/00103075/
-
- 本文言語コード
- ja
-
- 資料種別
- journal article
-
- データソース種別
-
- IRDB
- CiNii Articles
- KAKEN