クラスタリング手法を用いた新しい侵入検知システムの

クラスタ分析手法を用いた新しい
侵入検知システムの構築
慶應義塾大学・武藤研究室
セキュリティグループINAS
セキュリティの現状
PCユーザの増加
ウイルスによる被害の増加、最近は減少傾向
常時接続のインフラやサービスが充実
SOHOや家庭内LANなどの小規模ネットワーク
今まで以上、リアルタイムに不正アクセスを
検出したい
(図 IPAから)
セキュリティ技術としての
IDSの位置付け
侵入の検出
侵入失敗の検出
IDSによる通知
環境と脅威に応じた動的(能動的)な防御
不正侵入・不正アクセスの
具体的な行動の流れ
侵入検知システム(IDS)とは?
IDSの種類
ネットワークベース
ホストベース
検出方法
不正検出
異常検出
既存IDSの問題点と課題
ネットワークベースIDSの欠点
シグネチャの管理が大変なため安定した運用が
難しい
未知の攻撃手法に対して脆い
ネットワーク負荷がかかる
NIDS/HIDS両方の欠点(根源的な問題)
ホストが落とされたら終わり
SshやVPNなどの暗号化された監視が不可能
アイデア
他のIDSが取りこぼす攻撃を検出できるIDSを開発
したい!
未知の攻撃に対しても反応したい!
>>異常検出法のアルゴリズムを用いれば
できるかも??
異常検出法が敬遠されてきた理由
誤警報率が高い
プロファイルの作成が大変
異常の定義が困難
関連研究・関連IDS
「ネットワークトラヒックのクラスタリングによる
侵入検出手法に関する研究」
SFC修士論文 磯崎宏氏
「侵入検知に関するレポートでは長期プロ
ファイルと短期プロファイルを比較する統計
的異常解析手法」
沖電気研究開発 武内春夫氏、福士賢二氏
フリーウェア「HostSentry」
開発にいたる経緯
キーウェアソルーションス(古屋さん)
IPAの下請け
ITC(情報技術コンソーシアム)
INASの開発するNIDS
用いる技術 ー クラスタ分析を用いた異常検出
異常検出のアルゴリズム
統計的手法、ルールベース、ニューラルネットワーク、ク
ラスタ分析
正規化>距離を測る>判別
クラスタリング手法:k-平均法、マキシマムニューラルネッ
トワークモデル、kohonenモデル
判別手法:ユークリッド距離、マハラノビス距離
クラスタ分析(分類検出の利点)
属性間の関係を調査する事が可能
各攻撃手法を検出する為の効果的な属性に
関する背景知識を持つ必要が無い
要するに経験的にやらなくてはいけなかった
不正検出法と違いこのクラスタ分析による異
常検出法は予備知識を必要としない=未知
の攻撃にも対応可能
具体的な実装部分
libpcapを利用したネットワークアナライザで
パケットをキャプチャ
あらかじめ決めた属性に基づきクラスタリン
グをする
距離の判別を行い著しく距離のあるものをア
ラートとして出す
デモ
考察
不正アクセスの手法を特定することは困難
暗号化や、未知の不正手法の発展、意図し
ないネットワークトラフィックの異常などの検
出には効果を発揮すると思われる。
ネットワーク環境が複雑化>非常に有効な
警報システム
今後の課題
マハラノビス距離>共分散行列を用いた、よ
りセンシティブな判別システム
マキシマムニューラルネットワークや、
Kohonenモデル
最終的に実用システムの構築
監視ホストの自動検出、プロファイルの自動生
成、自動更新機能
各メンバーの主な担当作業
設計:梨和
実装:滝澤、安藤
調査:村山
プロジェクトリーダー、渉外:直江
今後の活動予定
今月初旬にはの審査終了
夏(7月~8月)
プロトタイプ完成
9月までにキーウェアソルーションズに指針
を出す
来期の研究会発表までに製品版をみせれ
る?