多次元的モニタリングよるフローベースの インターネット脅威検出システム 2012年12月26 NEC-早稲田大学 技術交流会 早稲田大学基幹理工学部 情報理工学科 助手 下田 晃弘 1 Goto Laboratory, Waseda University 目次 • • • • • 研究背景 既存研究 提案システム システムの評価 まとめ Goto Laboratory, Waseda University 2 インターネットの介した攻撃の 早期発見と抑止への取り組み バックボーン側 インターネットのボットネット、マルウェアによる脅威を ・ バックボーン・ネットワーク側(マクロ) ・ エッジ・ネットワーク側(ミクロ) の双方の視点から分析 従来の方法 バックボーン側(マクロ)の観測 ・ 定点観測システム (JPCERT: ISDAS, NICT: NICTER) ・ ユーザのサブミッションログ エッジ側 エッジ側(ミクロ)の観測 ・ 侵入検知ソフトウェア、ファイアウォール ・ ハニーポット 本研究では攻撃を少ないリソースで効率的に収集・検出する方法を 提案することで、ネットワーク管理者の脅威検出をサポート Goto Laboratory, Waseda University 3 Darknetによる不正なパケットの検出 • 受信専用のサーバにグローバルIPアドレスを割り当て – スキャンニングやDDoSの発生 (Backscatter) を効率的に検出 – 観測するアドレス空間を範囲を広げるには多くのサーバ資源が必要 – ネットワークのエッジ側でしか観測できない Block all outgoing packets Anomaly packets logging Attacker No response Accept all incomming packets Firewall PC Sensor Box (DarkNet implementation) Goto Laboratory, Waseda University 4 仮想センサによる広域ネットワーク脅威検出 • バックボーン上でマクロな定点観測を実現 – 測定点はバックボーンのルータ/スイッチ (エッジではない) – 受信のみのIPアドレスを推定、センサとして活用 従来の定点観測と比較 1.測定に関わるサーバ資源を 大幅に削減 2.バックボーン、ISPに適用可 3.広範囲のネットーワーク空間を 測定対象としてカバー インターネット ・ ・ ・ ・ ・ ・ 逆向きフローの存在しない一方通行のフローを検出し、 その宛先IPアドレスを仮想センサとみなす 攻撃元 (ボット、ワーム等) 仮想センサ (数万台規模) [1] Akihiro Shimoda and Shigeki Goto, Virtual Dark IP for Internet Threat Detection, the 25th APAN Meeting, pp.17-23, August, 2007. [2] Akihiro Shimoda, Shigeki Goto, Flow based anomaly traffic detection, The 13th JSPS/NRF Core University Program Seminar, Aug, 2009. 5 広域ハニーポット展開システム DarkPots • 企業・キャンパスネットワークが保有する未使用IPアドレス上に、 センサ、ハニーポットを展開 システムの動作 ハニーポット orセンサ群 疑似応答 パケット list of unused-IPs Forwarder Vacancy checker mirroring ゲートウェイ インターネット 企業/キャンパス ネットワーク 1.Vacancy checkerで未使用IP アドレスを検出 (Firewallの情報も利用) 2.Forwarderは未使用IPアドレス 宛のパケットをセンサ群に転送 3.ハニーポット/センサは未使用IPアドレス の代わりにパケットを受信、転送 特徴 ・ 管理サブネット内部の余剰IPアドレス を脅威観測のために活用 ・ ファイアウォールと連携する場合、 未使用IPアドレスの誤検知は 一切発生しない。 [3] Akihiro Shimoda, Tatsuya Mori, and Shigeki Goto, Sensor in the Dark: Building Untraceable Large-scale Honeypots using Virtualization Technologies, 2010 10th IEEE/IPSJ International Symposium on Applications and the Internet, pp.22-30, July, 2010. [4] (博士論文) Akihiro Shimoda, “, “Internet Threat Detection Method based on Virtual Sensors“, 2011年3月. Goto Laboratory, Waseda University 6 Darknet / Darkpots 観測の問題点 • IPv4 アドレス枯渇に伴い未使用IPアドレスが減少 • IPv6 等の大きいアドレス空間に適用する場合はシ ステムの負荷が増大 – 未使用IPアドレスのリストをシステム内部で保持しなければならない ため • 利用中のIPアドレスに対してはセンサ、ハニーポット を展開できない Goto Laboratory, Waseda University 7 提案手法 Goto Laboratory, Waseda University 8 従来の方式 (IPアドレスベース) active host w/o firewall active host w/ firewall inactive host or unassigned (darknet) 攻撃観測は未使用のIPアドレス上でのみ ・ ・ ・ sensor(s) gateway ・ ・ ・ the Internet scan packets honeypot(s) worms or botnet IP address space Analyzers 9 Goto Laboratory, Waseda University 提案手法 (フローベース) active host w/o firewall active host w/ firewall inactive host or unassigned (darknet) フロー単位で正常/不正な通信を識別 → 従来は不可能だったActive なIPアドレ ス上でも 不正パケットの検出を実現 ・ ・ ・ sensor(s) gateway ・ ・ ・ the Internet scan packets honeypot(s) worms or botnet IP address space Analyzers [5] 下田晃弘, 森達哉, 後藤滋樹, “DarkFlow検出によるリアルタイム・インターネット脅威検出システム”, 電子情報通信学会 ネットワーク仮想化研究会(NV), NV2011-4, pp. 33—40, July, 2011. 10 フローベースの攻撃検出手法 • syn に対して syn/ack が一定時間返らないフローを不正なフ ローと見なしてセンサーに転送 – 待ち時間については後述の実験で評価済み botnet/worm forwarder sensor/ honeypot syn syn (re-trans.) forward delay: T sec syn syn/ack (honeypot only) ack Goto Laboratory, Waseda University sensor log the syn packet honeypot send a response packet 11 IPアドレス網羅率を向上する 多次元的モニタリング 従来の darknet で 検出可能な範囲 unusable tcp port for threat monitoring usable tcp port for threat monitoring tcp/445 tcp/443 tcp/139 tcp/135 tcp/80 tcp/22 Host Power ON (A) OFF (B) ON (C) ON (D) OFF (E) ON (F) rst or syn/ack を応答しないTCPポート宛のパケットを不正な パケットとして検出 攻撃カバー率が大幅に向上 ON (G) ホストの状態 ON/ active, OFF /inactive ホスト名 12 提案システムの アーキテクチャ紹介 13 Goto Laboratory, Waseda University 提案システムの構成 (コンポーネント) synパケットを遅延させ るためのキュー Delay queue control plane data plane Forward the new TCP packet to delay queue delete Response Locator 応答フロー検出時に 遅延キューから該当す るsynパケットを削除 Entry the TCP flow to the monitoring slice Forwarding Table センサ/ハニーポットを 動作させるネットワーク センサに転送するフ ロー情報を保持 Ingress port Egress port Monitoring network The Internet 14 Goto Laboratory, Waseda University 提案システムの構成 (Flow Class Allocation) Monitoring class Malicious flows 明示的に使われていないアド レス空間を登録し、Darknetと 併用した観測を実現 Internet Dark IPs/net mirror Programmable Switch Grey flows Non-monitoring class Excluding hosts Analyzers . delay queue drop if connection established 管理者側で除外したい ホストや明示的に正常 と見なすホストを登録 Legitimate hosts to local area network Goto Laboratory, Waseda University Switch 15 提案システムの構成 (Policy-based Forwarding) Sensor A VLAN Trunk Policy based Classification Sensor B Forwarding Table Switch Honeypot A Forwarder Policy Policy example dest x.x.x.x/y => Sensor A daddr:X and dport:445 => Honeypot A dport:139 => Honeypot B Honeypot B 16 Goto Laboratory, Waseda University 提案システムの ソフトウェア実装 17 Goto Laboratory, Waseda University Forwarder Implementation ポート・ミラーリングを利用 (フロースイッチの代替) Forwarder delete packet Local Area Network assign VLAN tag (d) (a) Active Host Monitoring input process delete flow (b) Delay Queue forwarding mirroring IPTables NIC NIC gateway NIC (c) Internet output process forwarding table Analyzers Linux server データプレーン、コントロールプレーン をすべてLinuxのnetfilter上に実装 Goto Laboratory, Waseda University 18 Honeypot / Sensor Wrapper Implementation sensor NIC logging process iptables honeypot virtual interfaces input process NIC iptables create ○ ○ ○ ○ ○ ○ ○ honeypot process 1) syn パケットの宛先IPアドレスを持つ仮想インターフェイスを生成 2) ハニーポット・プロセスにフォワード Unix socket を利用するハニーポットはソフトウェアの変更なしに 送信元を偽装してセッションを確立できる Goto Laboratory, Waseda University 19 実験 20 Goto Laboratory, Waseda University 実験環境 • 大学ゲートウェイに提案システムを設置 – トラフィックは昼夜平均300Mbps • ピーク時は1Gbps超 – 2011年7月の数週間にわたり観測 – 大学のすべてのサブネットを観測対象 • クラスB (/16, total 65,536 IP addresses) • 評価の観点 – フローベースの不正パケット検出方式の精度 – ActiveなIPアドレスのカバー率 – システムの性能評価 Goto Laboratory, Waseda University 21 大学ネットワークにおける TCP syn/ack パケットの遅延割合 ゲートウェイのトラフィックをモニターし て、syn を検出後にsyn/ack を観測す るまでの時間を計測 99.997%のフローはsyn/ackパケット が 5sec 未満で到達 syn/ack が遅れたケースでは、 セッションが成立しているか? Goto Laboratory, Waseda University 22 syn/ack 遅延セッションにおける コネクション成立数 5sec ではセッション確立フローは無し ただし一部の例外ホスト (Planetlab ノード)を除く 23 Goto Laboratory, Waseda University syn/ack 遅延率とsynパケット保持数の トレードオフ評価 25000 0.0070% delay queue size # of syn packets 0.0050% 15000 0.0040% 0.0030% 10000 0.0020% delayed syn/ack ratio 0.0060% delayed syn/ack ratio 20000 5000 0.0010% no established session is located 0 2 3 4 5 6 7 forward delay [sec] 8 9 10 0.0000% better 遅延キューのタイムアウト (forward delay: T sec) が長すぎと… ・ キューに貯まる synパケットが増え、メモリを消費 ・ ハニーポットの場合、TCPタイムアウトによりセッションが確立しない恐れ 以上を総合的に判断して遅延キューのタイムアウト (T) を5 sec に設定 Goto Laboratory, Waseda University 24 ネットワーク脅威検出に 利用可能なIPアドレスの個数 80000 unused (IP-address-based) conventional darknet 70000 ourmulti-dimensional method (flow-based) # of IP address 60000 50000 syn/ack を応答しないポートが少なくとも1つ 以上存在するIPアドレスをカウント 40000 30000 20000 パケットを発信していない、 inactiveと推定され るIPアドレスをカウント (Darknet方式 / Virtual Dark IP address 方式) 10000 0 1 8 15 22 29 36 43 hours Active なホストが多く存在するネットワークにおいて、 モニタリング対象のIPアドレスを大幅に拡張することに成功 Goto Laboratory, Waseda University 25 メモリ使用率の評価 140000 7 120000 flow table [#] memoy usage [MB] 100000 flows or packets [#] [#] 6 5 80000 4 60000 3 40000 2 20000 1 0 大学のIPv4アドレス空間 (/16) 全体を監視する場 合でも高々7MByteのメモ リ消費 memory usage [Mbytes] delay queue syn table メモリ消費量は、その時 点におけるコネクション 数に依存 IPv6等の広いアドレス空 間をわずかなサーバ資源 で観測可能 0 0 12000 second 24000 Goto Laboratory, Waseda University 26 まとめ • フローベースの不正パケット攻撃検出システムを提案 – ActiveなIPアドレスに対する攻撃を観測できるため、IPアドレス利用率 の高い企業・大学のネットワークでも幅広くセンサ、ハニーポットを展 開 – IPアドレスリストを保持する必要がなく、IPv6等の広いアドレス空間も 少ないリソースで観測できる • プログラマブル・フロースイッチと連携したポリシーにより、観 測網の展開をより柔軟に – 従来のDarknetと併用することで、互いの長所を活かした観測を実現 – Flow Classの定義により、観測対象のスコープに含める、または除外 するネットワークを指定できる Goto Laboratory, Waseda University 27
© Copyright 2024 ExpyDoc
