Metasploit攻撃コードに対する網羅的な攻撃パケット生成による侵入検知システムのシグネチャ自動生成
書誌事項
- タイトル別名
-
- Automatic Signature Generation for Intrusion Detection Systems with Exhaustively Generated Packets from Metasploit Attack Script
説明
一般に,脆弱性情報の公表と前後して,PoCコードと呼ばれる,その脆弱性の実現可能性を示すコードが公開される.ここで,PoCコードの開発に多用されるツールとしてMetasploitが挙げられる.Metasploitのモジュールとして開発されたコードは容易に悪用できるため,公開後の迅速な対策が必要となる.本研究では,その対策として侵入検知システムのシグネチャを生成し,システムに設置することを考える.そうした対策では,手動でのコードの解析によるシグネチャ作成が行われることが多いが,時間がかかる点が問題となる.そこで,本研究ではMetasploitの攻撃コードのうち,HTTPによるものについて、そのコードからシグネチャを自動生成する手法を提案する.提案手法では,まず攻撃コードの抽象構文木を用いた制御パスの全列挙と、それぞれの制御パスに従った攻撃コードの実行によって,網羅的に攻撃パケットを生成する.その後,生成された攻撃パケットからn-gramをベースとしたアルゴリズムによって特徴的な文字列を抽出し,シグネチャを生成する.また,代表的な攻撃コードについて生成されたシグネチャ例を示す.
In general, before and after the disclosure of a vulnerability, the PoC(Proof of Concept) code is released. Metasploit is a framework often used to develop such code. The PoC code developed as a Metasploit module can be easily abused, so we need prompt countermeasures after released. As a basic countermeasure, we need to investigate such code and define signatures for IDS(Intrusion Detection Systems), but it is time-consuming and problematic. In this paper, we propose a method to automatically generate signatures from Metasploit attack script related to HTTP. In this method, we first enumerate all the control paths using an abstract syntax tree of the script and execute the script corresponding to each path to generate attack packets exhaustively. Then, we use an n-gram-based algorithm to extract the characteristics of the attack conducted by the script and generate signatures. We also show examples of signatures generated for some scripts.
収録刊行物
-
- コンピュータセキュリティシンポジウム2020論文集
-
コンピュータセキュリティシンポジウム2020論文集 101-108, 2020-10-19
情報処理学会
- Tweet
詳細情報 詳細情報について
-
- CRID
- 1050292572093788672
-
- NII論文ID
- 170000184080
-
- 本文言語コード
- ja
-
- 資料種別
- conference paper
-
- データソース種別
-
- IRDB
- CiNii Articles
