Proposal for a Detection Method Using Data Size of SSH Password Cracking Attacks and its Operational Evaluations

インターネットを利用した不正アクセスが多く発生している．特に，SSHサーバに対する不正アクセスの件数は依然として多い．そこで，我々はSSHへのパスワードクラッキング攻撃を検知することを目的として「SSHパスワードクラッキング攻撃検知システム（SCRAD）」を開発・運用してきた．本システムではSSHサーバと送信元間の1コネクションのパケット送受信回数からパスワードクラッキング攻撃を検知している．従来のシステムの運用結果を分析したところ，scpやrsyncにより少量のデータを送受信する際に正規ユーザを誤検知していた．scpによるコネクションを調査して，パケット数は攻撃者コネクションと類似しているが，データサイズは攻撃者コネクションよりも大きい傾向にあると判明した．本論文では，パケット数による検知手法の誤検知を改善するために，データサイズを用いる検知手法を提案する．また，2014年7月に収集したパケットデータを入力として提案手法と従来のパケット数を用いる検知手法を比較し，提案手法の有用性を検証した結果，攻撃者のコネクション判定率を維持しつつ正規ユーザのコネクション判定率を67.3%から90.1%に改善できた．さらに，2015年2月から2016年5月までの提案手法の運用結果を分析した結果，攻撃者のコネクションを99.7%正確に判定できたが，正規ユーザのコネクション判定率は72.2%であった．提案手法によりSSHパスワードクラッキング攻撃によるSSHサーバへの侵入のリスクを低減できることと，正規ユーザを誤検知することにより，ユーザの利便性を損ねる可能性があることが判明した．

There are many malicious attacks in the Internet. In particular, there are many illegal accesses into SSH servers. So, we have been developing a SSH Password Cracking Attack Detection system (called SCRAD) in order to detection for SSH password cracking attacks. Our system detects attacker's connection using the number of packets per connection between a SSH client and server. We analyzed the operational results of SCRAD system. We found some false positives. The cause of false positives was a small amount of data communication using scp or rsync commands by normal users. Therefore, we investigated the connection of scp's communication. As a result, the number of packets is similar to the scp and attacker's connection. However, data size in the scp connection is larger than data size in the attacker's connection. In this paper, we propose a new detection method using data size to avoid the false positives. We compared the packet counts based method and the data size based method. In the experimental results, the attacker detection rate was the same of the two methods. However, the normal user discrimination rate of the data size based method was 22.1% higher than the packet counts based method. We confirmed that the proposed method is effective for the SSH password cracking attacks. In addition, we are operating the SCRAD system with data size based detection method. We report the operational results of SCRAD from February 2015 to May 2016. The SCRAD was detected 99.7% of attacker's connections. On the other hand, normal user connection discrimination rate was 72.2%. The operational results show that SCRAD reduced the risk of penetrated SSH servers, and SCRAD occured some false positives.