クラスタ分析手法を用いた新しい 侵入検知システムの構築 慶應義塾大学・武藤研究室 セキュリティグループINAS セキュリティの現状 PCユーザの増加 ウイルスによる被害の増加、最近は減少傾向 常時接続のインフラやサービスが充実 SOHOや家庭内LANなどの小規模ネットワーク 今まで以上、リアルタイムに不正アクセスを 検出したい (図 IPAから) セキュリティ技術としての IDSの位置付け 侵入の検出 侵入失敗の検出 IDSによる通知 環境と脅威に応じた動的(能動的)な防御 不正侵入・不正アクセスの 具体的な行動の流れ 侵入検知システム(IDS)とは? IDSの種類 ネットワークベース ホストベース 検出方法 不正検出 異常検出 既存IDSの問題点と課題 ネットワークベースIDSの欠点 シグネチャの管理が大変なため安定した運用が 難しい 未知の攻撃手法に対して脆い ネットワーク負荷がかかる NIDS/HIDS両方の欠点(根源的な問題) ホストが落とされたら終わり SshやVPNなどの暗号化された監視が不可能 アイデア 他のIDSが取りこぼす攻撃を検出できるIDSを開発 したい! 未知の攻撃に対しても反応したい! >>異常検出法のアルゴリズムを用いれば できるかも?? 異常検出法が敬遠されてきた理由 誤警報率が高い プロファイルの作成が大変 異常の定義が困難 関連研究・関連IDS 「ネットワークトラヒックのクラスタリングによる 侵入検出手法に関する研究」 SFC修士論文 磯崎宏氏 「侵入検知に関するレポートでは長期プロ ファイルと短期プロファイルを比較する統計 的異常解析手法」 沖電気研究開発 武内春夫氏、福士賢二氏 フリーウェア「HostSentry」 開発にいたる経緯 キーウェアソルーションス(古屋さん) IPAの下請け ITC(情報技術コンソーシアム) INASの開発するNIDS 用いる技術 ー クラスタ分析を用いた異常検出 異常検出のアルゴリズム 統計的手法、ルールベース、ニューラルネットワーク、ク ラスタ分析 正規化>距離を測る>判別 クラスタリング手法:k-平均法、マキシマムニューラルネッ トワークモデル、kohonenモデル 判別手法:ユークリッド距離、マハラノビス距離 クラスタ分析(分類検出の利点) 属性間の関係を調査する事が可能 各攻撃手法を検出する為の効果的な属性に 関する背景知識を持つ必要が無い 要するに経験的にやらなくてはいけなかった 不正検出法と違いこのクラスタ分析による異 常検出法は予備知識を必要としない=未知 の攻撃にも対応可能 具体的な実装部分 libpcapを利用したネットワークアナライザで パケットをキャプチャ あらかじめ決めた属性に基づきクラスタリン グをする 距離の判別を行い著しく距離のあるものをア ラートとして出す デモ 考察 不正アクセスの手法を特定することは困難 暗号化や、未知の不正手法の発展、意図し ないネットワークトラフィックの異常などの検 出には効果を発揮すると思われる。 ネットワーク環境が複雑化>非常に有効な 警報システム 今後の課題 マハラノビス距離>共分散行列を用いた、よ りセンシティブな判別システム マキシマムニューラルネットワークや、 Kohonenモデル 最終的に実用システムの構築 監視ホストの自動検出、プロファイルの自動生 成、自動更新機能 各メンバーの主な担当作業 設計:梨和 実装:滝澤、安藤 調査:村山 プロジェクトリーダー、渉外:直江 今後の活動予定 今月初旬にはの審査終了 夏(7月~8月) プロトタイプ完成 9月までにキーウェアソルーションズに指針 を出す 来期の研究会発表までに製品版をみせれ る?
© Copyright 2024 ExpyDoc
