アクセスパターンに基づく攻撃対象Webアプリケーション発見手法の提案

摘要

攻撃者はWeb サーバに対して攻撃を行う前に，攻撃可能なWeb サーバを探すスキャンを行うことがある．具体的には，脆弱なWeb アプリケーションが存在するか否かを判断するためのHTTP リクエストを対象のWeb サーバへ送信する．攻撃者によるスキャン行為を早期に検知できれば，攻撃者が狙っているWeb アプリケーションを特定して注意喚起を行うことで被害を抑えることができる．本稿では，HTTPアクセスログからスキャンの標的にされたURI を検出する手法を提案する．提案手法では，攻撃者がスキャンを行う際に同じ送信元から複数の送信先へ同じHTTP リクエストを送信する傾向があるという点に基づいて送信元IP アドレスのスコア付けを行う．送信元IP アドレスのスコアを用いてURI のスコア付けを行い、当該スコアに基づいてスキャンに用いられたURI を検出する．実Web サーバ群のHTTP アクセスログに対して提案手法を適用することで，既存手法に比べ少ない計算コストで高精度にスキャンを検出できることを示す．