今までの研究成果及び NOVELプロジェクトでの 今後の展望 政策・メディア研究科一年 直江健介([email protected]) 所属 ニューラルネットワーク 武藤研究会セキュリティ班INAS 既存の侵入検知システム ネットワークトラフィックの可視化 ウイルス カーネルセキュリティ 新しいネットワーク侵入検知システムの開発 新しい侵入検知システム クラスタ分析手法を用いたIDS 分散型侵入検知システム(DIDS) セキュリティの現状 PCユーザの増加 ウイルスによる被害の増加、最近は減少傾向 常時接続のインフラやサービスが充実 SOHOや家庭内LANなどの小規模ネットワーク 今まで以上、リアルタイムに不正アクセスを 検出したい (図 IPAから) IDSの位置付け 侵入の検出 侵入失敗の検出 IDSによる通知 環境と脅威に応じた動的(能動的)な防御 不正侵入・不正アクセスの 具体的な行動の流れ 侵入検知システム(IDS)とは? IDSの種類 ネットワークベース ホストベース 検出方法 不正検出 異常検出 新しい侵入検知システム クラスタ分析手法を用いたIDS 分散型侵入検知システム(DIDS) 既存IDSの問題点と課題 ネットワークベースIDSの欠点 シグネチャの管理が大変なため安定した運用が難し い 未知の攻撃手法に対して脆い ネットワーク負荷がかかる NIDS/HIDS両方の欠点(根源的な問題) ホストが落とされたら終わり SshやVPNなどの暗号化された監視が不可能 アイデア 他のIDSが取りこぼす攻撃を検出できるIDSを開 発したい! 未知の攻撃に対しても反応したい! 異常検出アルゴリズムを用いればできる?? ADが敬遠されてきた理由 誤警報率が高い プロファイルの作成が大変 正常の定義が困難 関連研究・関連IDS 「ネットワークトラヒックのクラスタリングに よる侵入検出手法に関する研究」 SFC修士論文 磯崎宏氏 「侵入検知に関するレポートでは長期プロ ファイルと短期プロファイルを比較する統 計的異常解析手法」 沖電気研究開発 武内春夫氏、福士賢二氏 INASの開発するNIDS 用いる技術 ー クラスタ分析を用いた異常検出 異常検出のアルゴリズム 統計的手法、ルールベース、ニューラルネットワーク、 クラスタ分析 正規化>距離を測る>判別 クラスタリング手法:k-平均法、マキシマムニューラル ネットワークモデル、kohonenモデル 判別手法:ユークリッド距離、マハラノビス距離 クラスタ分析(分類検出の利点) 属性間の関係を調査する事が可能 各攻撃手法を検出する為の効果的な属性 に関する背景知識を持つ必要が無い 要するに経験的にやらなくてはいけなかっ た不正検出法と違いこのクラスタ分析によ る異常検出法は予備知識を必要としない =未知の攻撃にも対応可能 新しい侵入検知システム クラスタ分析手法を用いたIDS 分散型侵入検知システム(DIDS) 作成しようとするDIDSとは? 検出部分のセンサと制御部分のマネジャを一括。 ログ、シグネチャ、プロファイルなどの検出に必 要なDBを分散配置 攻撃手法や不正アクセスのパターンを蓄積、学 習 異常検出のアルゴリズムも採択することで誤警 報率を抑制 シグネチャと攻撃手法、不正行為とプロファイル の比較を高速化(メタデータを生成) 嬉しいことは? 一つ一つのマシンでの処理は減る ネットワーク全体としてみたときに連携力があ り堅牢になる PCユーザで管理可能 パーソナルFWに取って代わる? ユーザが多ければ多いほどデータが取れ る ユーザレベルで定義ファイルを作成、UP イメージ図 しかし今の興味は 無線ネットワークの脆弱性について Wireless Security the vulnerability of WEP and applicating IPsec to wireless systems ワイヤレスネットワーク インフラが整っていない 通信速度が遅い セキュリティを気にして・・・ 値段が高い 通信機器の速度向上 ノートPC、PDAなどのモバイル端末の普及 IEEE802.11b規格>11Mbps,2.4GHz 値段もそこそこ IEEE802.11シリーズのセキュリ ティ SS-ID(or Extended Service Set IDentifier) 32byte以内 –ユーザが自由に設定 WEP MACアドレスフィルタリング WEPとは? Wireless Equivalent Privacy 暗号化形式はRC4 鍵長は64bit/128bit 40bit secret key plus 24bit IV 104bit secret key plus 24bit IV IV(Initialization Vector) 毎回変化する部分 実際にユーザが入力するのは40bit/104bit 英数字に直すと5文字/13文字 イメージ図 もっと分かりやすく(ないかも) RC4の欠陥 Weaknesses in the Key Scheduling Algorithm of RC4 Scott Fluhrer,Itsik Mantin,Adi Shamir 主にIVの仕様欠陥 IVデータスペースが24bitしかない 5Mbpsのネットワーク・アクセス・ポイントで24ビットで可能な 組み合わせのパケットが半日たらずで全部通過する IEEE802.11規格ではIVが毎パケット違わなくて もよい 今までどうしていたのか? WEPすらもしていないところがほとんど 実際ワイヤレスネットワークをサービスと 提供しているところはWEPを使いIPsecと 絡めることで堅牢なものにしていた。 IPsecとは?(1) IPプロトコルのセキュリティ機能の弱さ IPにセキュリティを持たせよう IPsec ver1 RFC1825~RFC1829 (1995.8) ProposedStandard IPsec version2 RFC2401~2451(1998.11) IPsecとは?(2) 特徴 ネットワーク上の機密性を確保 ネットワーク上の完全性を確保 データの送信元を認証できる 標準プロトコル(IETF) 将来性(IPv6、IPv4) アルゴリズムの選択の柔軟性 IPによる通信をすべて保護 VPNを構築可能 エンドユーザに透過的 IPsecとは?(3) 機密性(ESP:Encapsulating Security Payload) 認証(AH:Authentication Header) パケット単位でsrcの認証 完全性(AH,ESP) パケット単位で暗号化 パケット単位で改ざんのチェック IP層で実現しているため上位層に透過的にセ キュリティを提供 WEPを破るツール AirSnort 2001.8.2 Using the Fluhrer, Mantin, and Shamir Attack to Break WEP 128bitの鍵長で暗号化した通信をおよそ2時間 新しい暗号手法 RSA社、Hifn社(2001.12.1) 高速パケット・キー設定(fast packet keying) データの各パケットを異なった鍵で暗号化できる IEEEによって802.11standardの追加修正として承認 WEP2 128ビット暗号、WEPと下位互換性あり 128bitのIV ほとんどのレガシーハードウェアに対応 結論 ワイヤレスネットワークはAPからはイン ターネットと同じ。 APまでの通信もWEPを使ってるだけでは 不十分 セキュリティが注目されるとき 破られたとき 普段通りに運用していると存在は希薄 今後取り組むべき課題 実際にツールを使いWEPを破る実証実験 セキュリティ技術・知識の啓蒙 IDS開発
© Copyright 2024 ExpyDoc