Yuta Sugafuji

PC の普及や IoT デバイスのシステム高度化により，高度な処理系を組むことが可能に なった．これによりデバイス上に Linux 系などの OS が搭載された機器が広く人々に使わ れるようになった．また，Linux 系 OS にリモートログインする手法として SSH がある． これを用いて不正に侵入する攻撃が行われている．侵入された際に侵入者がどのような挙 動をしているのかを知る手段として，Honeypot がある．Honeypot は SSH で侵入しやす いような環境を作ることで，侵入者にログイン試行に成功したと検知させ，その際に実行 したコマンドのログを収集するものである．また現在では Shell の挙動をエミュレートし た Honeypot が広く使用されており，この Honeypot は実行できるコマンドが少ない実装 になっている．そのため Honeypot への侵入者に侵入先が Honeypot であると検知されて しまう．そこで事前実験では Honeypot のコマンドを拡張し，拡張をしていない Honeypot とコマンドの拡張をした Honeypot で侵入ログを収集した．収集したログを確率的な算出 方法を使用することで比較した結果，より多くの侵入者のコマンド実行ログのパターンを 取得できることを示した．本研究ではコマンドを拡張した Honeypot の侵入ログがどれほ ど実際の OS に不正な SSH の侵入をされた際の侵入ログが近似したのかを検証した．評 価として，拡張をしていない Honeypot とコマンドの拡張をした Honeypot と，さらに実 際の OS を使用した Honeypot で侵入ログを収集し，比較を行なった．この 3 つの侵入ロ グを自然言語処理の意味解析を用い，一セッションにおけるコマンドログの意味をベクト ル空間上に表現することで，拡張した Honeypot で収集した侵入ログが，拡張をしていな い Honeypot で収集した侵入ログよりも，一般的な UNIX ユーザーの実行するコマンドロ グから離れることを示した．