SSL/TLSでのDV証明書の利用に着目した未知の悪性サイトへのアクセス防止

情報処理学会

書誌事項

タイトル別名
  • A Challenge on-the-Fly Preventing an Access to a Malicious Site Considering a DV Certificate in a SSL/TLS Communication

抄録

ウェブページなどのサイトで AOSSL (Always-On SSL,常時 HTTPS 化) が普及し,フィッシングやマルウェア感染を招く悪性サイトの通信の暗号化も増加している.そこで,我々は,常時 HTTPS 化された悪性サイトが DV (Domain Validation) 証明書をしばしば採用する点に着目し,TLS/SSL ハンドシェイクにおける未知の悪性サイトへのアクセス防止を実ネットワークの次世代ファイアウォール上で実装した.悪性サイトの判定にあたっては,DV 証明書を利用している良性サイトも存在するため,DV 証明書だけでなく,DDNS (Dynamic DNS) や悪性の可能性が高い TLD (Top-Level Domain) の利用を元に悪性サイトを判定した.一方,誤判定でも可用性の劣化を最小限に抑えるため,悪性サイトと判定されても,警告ページへリダイレクトし利用者が閲覧継続ボタンを押下することで閲覧可能とした.そして,これらをパロアルトネットワークス社の次世代ファイアウォールの設定変更のみで実装し,運用性も保ちつつ,未知の悪性サイトへのアクセス防止を試みた.その結果,49.1% の精度で TLD によって悪性サイトへのアクセスを防止できた一方,DDNS による悪性判定は誤判定のみであったことが明かになった.

Not only many benign sites but also malicious sites for phishing or malware are now implementing Always-On SSL (AOSSL). We have, therefore, implemented an on-the-fly access prevention to a unknwon malicious site on a next-generation firewall running in the wild, considering that many AOSSLed malicious sites adopt Domain-Validated (DV) certificates. We judged a malicious site by not only DV certificate but also dynamic DNS (DDNS) and malicious Top-Level Domain (TLD). In order to reduce usability regressions as much as possible, a user was redirected to a warning page, and could access to the site user confirmed by cliking the continue button. We tried to implement these by configuration chages only on the next-generation firewall developved by Palo Alto Networks, Inc., and keep operability and an access prevention. TLD based detection could detect malicious sites by 49.1% accuracy while no malicious sites was detected by DDNS.

収録刊行物

キーワード

詳細情報 詳細情報について

  • CRID
    1050574047069673856
  • NII論文ID
    170000185895
  • Web Site
    http://id.nii.ac.jp/1001/00213762/
  • 本文言語コード
    ja
  • 資料種別
    conference paper
  • データソース種別
    • IRDB
    • CiNii Articles

問題の指摘

ページトップへ