再送パケット除去によるSSHパスワードクラッキング攻撃検知システムの検知方法の改善

抄録

SSHサーバへの攻撃を検知するため，SSHパスワードクラッキング攻撃検知システムを開発・運用してきた．検知結果を分析すると，しきい値をわずかに超過する攻撃者と類似した挙動があった．しかし，しきい値をわずかに超える通信には正規ユーザも含まれている．検知漏れを改善するため，しきい値をわずかに超えた通信を分析したところ，再送パケットが原因で攻撃者を検知漏れしていることがわかった．本論文では，再送パケットを除去して，検知基準を適用した時の検知漏れの改善について述べる．