2008 年02月08日 修士論文審査会 仮想センサによる 広域ネットワーク脅威検出法 早稲田大学大学院 期間理工学研究科 情報理工学専攻 後藤研究室 M1 下田 晃弘 1 Agenda • 研究背景 • 提案方式 – Virtual Dark IP – 広域観測と局所観測 • 実験結果 – 広域観測の実験 – 局所観測の実験 • まとめ • 今後の研究計画 2 研究背景 (1) インターネットワーム・DDoS事件 • 2003年 SQL Slammer – 最初の10分間で、対策不備なサーバの90%に感染。 • 2004年6月15 日 Akamai事件 – 大規模DDoS攻撃により、Google, Yahoo等のサイトが2 時間にわたりアクセス不能。 • 近年では・・・ 広域のネットワークで発生する攻撃を検出するため、 – ping スキャン、SSH スキャニング 定点観測システムが世界各地で運用されている。 – 設定不備のサーバを狙ったsyn flood 攻撃 3 定点観測システム Y軸 研究背景 (2) 人員配置チャート フェーズ 1 フェーズ 2 フェーズ 3 フェーズ 4 フェーズ 5 部署 1 部署 2 部署 3 部署 4 部署 5 攻撃パケット Statistics Data ログ The Internet X軸 部署 6 警告情報の発信 Firewall sensor Database & Analysis Server システムの構築例 ・JPCERT/CC ISDAS (日本) ・警視庁 定点観測システム (日本) Distributed Sensors ・Internet Storm Center (米国) Webサイトへの掲載 4 提案方式 • 定点観測システムは敷設コストが高い。 – センサの台数を増やさなければ、観測精度が向上 しない。 – センサのためのIPアドレス&サブネット確保が必要 • 提案方式 – 仮想センサによる脅威検出システム • センサ設置の必要はなく、追加コストは一切無し。 5 物理センサによる脅威検出 従来の検出手法 末端IPアドレス群で観測 インターネット ・ ・ ・ ・ ・ ・ 攻撃元 (ボット、ワーム等) センサでは 補足できない 攻撃 物理センサ (数十台程度) 6 仮想センサによる脅威検出 仮想センサ方式 Virtual Dark IP群 中継ルータで観測 インターネット ・ ・ ・ ・ ・ ・ 攻撃元 (ボット、ワーム等) 仮想センサ (数万台程度) 7 脅威検出における本研究の位置づけ 攻撃への対処 ・発信元の特定 ・攻撃の防御、抑制 ・警告の発信 ログ解析・攻撃検知 ・シグネチャ型検知 (パターンファイル) ・アノマリ型検知 (閾値、ベイズ解析 etc) 本論文の 研究対象 データ収集 ・パケットキャプチャ装置 (センサ) ・ファイアウォールのログ ・フロー 情報の収集 (Netflow, sFlow) 8 提案方式 9 仮想センサによる脅威検出の概要 仮想センサ Virtual Dark IP 検出 広域観測 攻撃元 (ボット、ワーム等) 局所観測 早稲田大学 学内LAN APANネットワーク APAN: アジア太平洋先端ネットワーク 10 Dark IP とは? ・ 外部に対して一切のパケット送信しない、受信専用のIPアドレス IN → OUT のパケットは遮断 Anomaly packets logging Attacker No response OUT → IN のパケットは許可 Firewall PC Sensor Box (Dark IP) 11 Virtual Dark IPの検出 通常のサーバ サービスを提供しない IPアドレス 双方向通信 一方向通信 通常の通信ホスト 攻撃パケット送信元 使われていないIPアドレス 仮想センサ (Virtual Dark IP) 12 Dark IPで観測可能な不正パケット パケット 正常パケット 不正パケット 悪意のあるパ ケット Ping/Host スキャン DDoS 反射パケット 悪意のないパ ケット サーバやクライアン トの設定ミス 実験などにより送信さ れるパケット ワーム・ボット 13 脅威検出システムの実装 リアルタイム or オフライン入力 入力モジュール 仮想センサ検出モジュール libpcap library for 局所観測 (Packet Capturing) flow-tools library SRC IP キャッシュ VP候補IPアドレス検出 VP IPアドレス検出 VP 候補 データベース for 広域観測 (Netflow Capturing) 検出結果 不正パケットログ データベース 不正パケット抽出モジュール VP データベース 異常値のフィルタリング 不正パケットログの記録 VP : Virtual Dark IP Address 14 実験(1) 広域観測 18 広域観測の測定環境 仮想センサ Anomaly packets A worm infected host 中継ルータ (フロー観測対象) Scanning packets An malicious host APAN-JP Wide Area Network Autonomous System トラフィック収集方法: Netflow 測定期間: 2006/06/01 - 2006/10/25 サンプリング間隔: 1/100 19 仮想センサ検出アルゴリズム 広域観測用 未検出 or 未観測 仮想センサ 候補 送信者リスト 仮想センサ 20 2006/9/14 2006/9/7 2006/8/31 2006/8/24 2006/8/17 2006/8/10 2006/8/3 2006/7/27 2006/7/20 2006/7/13 2006/7/6 2006/6/29 2006/6/22 2006/6/15 2006/6/8 2006/6/1 The number of Virtual Sensors 仮想センサ検出個数 60000 50000 40000 30000 20000 10000 0 21 Comparison – Port 445/tcp WCLSCAN: 定点観測システム (日本) ISC: Internet Storm Center 22 パケット数の比較 – Port 135/tcp 23 Comparison – Port 139/tcp 24 実験(2) 局所観測 27 局所観測の実験環境 インターネット 攻撃元 Gateway 学内バックボーン トラフィック収集方法: パケットキャプチャ 測定期間: 2008/01/26 - 2008/02/01 フィルタ条件: synフラグ無しのTCPパケットを除く パケット収集装置 仮想センサ群 早稲田大学ネットワーク 28 仮想センサ検出アルゴリズム 局所観測用 早稲田大学のサブネット133.9.0.0/16 -> 初期状態として65534個のIPアドレス を登録 観測対象の組織に属する全IP アドレスを登録 Virtual Dark IP 候補 timer (t2) 経過 timer (t1) 経過 通信を検出 Virtual Dark IP 通信を検出 通信中IPアドレス 29 Virtual Dark IPの数 VP host num ゲートウェイ観測 30 ゲートウェイ観測 通信中ホストの数 昼 土 夜 昼 日 夜 昼 月 夜 昼 火 夜 昼 水 31 ゲートウェイ観測 22/tcp 32 ゲートウェイ観測 445/tcp 33 ゲートウェイ観測 1026/udp 34 まとめ • 仮想センサ検出方式 – 新規センサ設置の必要がなく、物理リソース削減。 – 膨大な仮想センサにより観測精度向上。 – 広域観測 • 定点観測システムのデータとの類似点を確認。 • 本当に攻撃パケットなのかという、誤検出に関する検証 が必要。 – 局所観測 • センサ個数の増減と、未使用IPアドレスに対するパケット の検出に成功。 • IDS (シグネチャ式) との併用と比較により、攻撃が正しく 検出できているかという検証が必要。 36 今後の研究計画 37 Virtual Dark IP の体系化 • Dark IP を脅威検出に利用する試み – 国際会議First, 米国REN-ISAC が共同研究中 – The IUCC/IDC Internet Telescope – Dark IPと同義: • Unused IP address, Darknet, Dark IP space, • トラフィック情報からDark IPを検出するアイデ アを述べた論文は、これまで存在しない。 – 早急にアルゴリズムの確立と検証を行う必要が ある。 38 投稿論文 ■ Akihiro Shimoda and Shigeki Goto Virtual Dark IP for Internet Threat Detection, APAN Network Research Workshop 2007, pp.17—23, Autgust 2007. ■ 下田 晃弘、 後藤滋樹 広域ネットワークにおけるフロー解析に基づく脅威検出法 FIT2007 第6回情報科学技術フォーラム 査読付論文 LL-001 2007年9月 39 研究計画 (目標) 2008年 ・ 3月 ゲートウェイ観測の実装と検証 →検証結果をFIT2008に投稿予定 ・ 4月 仮想センサのアルゴリズム改良と検証 ・ 6月 広域・局所観測の統合システムの 開発と運用 ・ 8月 ジャーナル論文への投稿 40 広域・局所観測を連携させた、 高次元ネットワーク・センシング手法の確立 攻撃元の特定 仮想センサ群 広域観測 局所観測 攻撃検出 APANネットワーク 早稲田大学 学内LAN SINET 攻撃元 (ボット、ワーム等) 41 ご清聴ありがとう ございました。 42 補足資料 43 Comparison – Port 22/tcp 44 Comparison – Port 80/tcp 45 Parameter – Limit Timer 46 広域観測と局所観測 パケット収集装置 稼働中のホスト群 不正パケット送信 攻撃元ホスト 不正パケット Gateway ルータ 停止中、IPアドレス未割当のホスト群 (検出対象) インターネット 組織内ネットワーク 50 研究の進め方 • 現時点における仮想センサの課題 – 仮想センサを誤検出した場合、通常の通信を攻 撃を誤判定してしまう場合がある。 – 大雑把な攻撃の有無のみ判別可能。 • 脅威検出の研究における大きな壁 – 検出結果の比較対象が存在しない。 • ワーム・ウイルスの攻撃はほぼランダム。 • 他の研究機関との情報交換が欠かせない。 52
© Copyright 2024 ExpyDoc
