ハイブリッド型WebハニーポットWeb Phantomの設計

摘要

本稿では，囮Webサイトの通信先と受信したデータやファイルの文字列を自動解析することで，超多数Webサイトをマルウェア感染から保護するブラックリストを効率的に生成するWebハニーポットWeb Phantomを提案する．近年，クラウドコンピューティングの普及に伴いWebサイトの重要性が高まる一方，Webアプリケーションの脆弱性を悪用してWebサイトをマルウェアに感染させる攻撃が多発している．この攻撃を防御するために攻撃の特徴を明らかにする手段として，攻撃された囮Webサイトの挙動や攻撃の文字列から情報を収集するWebハニーポットが検討されている．しかし，Webサイトへの攻·撃の多くはツールで自動生成されているため精度が低く，攻撃が失敗し，収集可能な情報が限定される．Web Phantomは，失敗した攻撃の文字列を機械的に解析して攻撃成功時の挙動を発生させるとともに，ファイルダウンロードが発生した際には，ファイルに記述された文字列を解析し，ブラックリスト生成に有効な情報を自動的に抽出する．インターネットから収集した攻撃を分析した結果，Web Phantomの適用により，ブラックリストに使用可能な情報量が約50％増加することを確認した．