NOVELプロジェクトでの成果、今後の課題

今までの研究成果及び
NOVELプロジェクトでの
今後の展望
政策・メディア研究科一年
直江健介([email protected])
所属
 ニューラルネットワーク
 武藤研究会セキュリティ班INAS
 既存の侵入検知システム
 ネットワークトラフィックの可視化
 ウイルス
 カーネルセキュリティ
 新しいネットワーク侵入検知システムの開発
新しい侵入検知システム
 クラスタ分析手法を用いたIDS
 分散型侵入検知システム(DIDS)
セキュリティの現状
 PCユーザの増加
 ウイルスによる被害の増加、最近は減少傾向
 常時接続のインフラやサービスが充実
 SOHOや家庭内LANなどの小規模ネットワーク
今まで以上、リアルタイムに不正アクセスを
検出したい
(図 IPAから)
IDSの位置付け
侵入の検出
侵入失敗の検出
IDSによる通知
環境と脅威に応じた動的(能動的)な防御
不正侵入・不正アクセスの
具体的な行動の流れ
侵入検知システム(IDS)とは?

IDSの種類



ネットワークベース
ホストベース
検出方法


不正検出
異常検出
新しい侵入検知システム
 クラスタ分析手法を用いたIDS
 分散型侵入検知システム(DIDS)
既存IDSの問題点と課題

ネットワークベースIDSの欠点




シグネチャの管理が大変なため安定した運用が難し
い
未知の攻撃手法に対して脆い
ネットワーク負荷がかかる
NIDS/HIDS両方の欠点(根源的な問題)


ホストが落とされたら終わり
SshやVPNなどの暗号化された監視が不可能
アイデア
他のIDSが取りこぼす攻撃を検出できるIDSを開
発したい!
 未知の攻撃に対しても反応したい!

異常検出アルゴリズムを用いればできる??
ADが敬遠されてきた理由
 誤警報率が高い
 プロファイルの作成が大変
 正常の定義が困難
関連研究・関連IDS
 「ネットワークトラヒックのクラスタリングに
よる侵入検出手法に関する研究」
 SFC修士論文
磯崎宏氏
 「侵入検知に関するレポートでは長期プロ
ファイルと短期プロファイルを比較する統
計的異常解析手法」
 沖電気研究開発
武内春夫氏、福士賢二氏
INASの開発するNIDS

用いる技術 ー クラスタ分析を用いた異常検出

異常検出のアルゴリズム


統計的手法、ルールベース、ニューラルネットワーク、
クラスタ分析
正規化>距離を測る>判別


クラスタリング手法:k-平均法、マキシマムニューラル
ネットワークモデル、kohonenモデル
判別手法:ユークリッド距離、マハラノビス距離
クラスタ分析(分類検出の利点)
 属性間の関係を調査する事が可能
 各攻撃手法を検出する為の効果的な属性
に関する背景知識を持つ必要が無い
 要するに経験的にやらなくてはいけなかっ
た不正検出法と違いこのクラスタ分析によ
る異常検出法は予備知識を必要としない
=未知の攻撃にも対応可能
新しい侵入検知システム
 クラスタ分析手法を用いたIDS
 分散型侵入検知システム(DIDS)
作成しようとするDIDSとは?
検出部分のセンサと制御部分のマネジャを一括。
ログ、シグネチャ、プロファイルなどの検出に必
要なDBを分散配置
 攻撃手法や不正アクセスのパターンを蓄積、学
習

異常検出のアルゴリズムも採択することで誤警
報率を抑制
 シグネチャと攻撃手法、不正行為とプロファイル
の比較を高速化(メタデータを生成)

嬉しいことは?
 一つ一つのマシンでの処理は減る
 ネットワーク全体としてみたときに連携力があ
り堅牢になる
 PCユーザで管理可能
 パーソナルFWに取って代わる?
 ユーザが多ければ多いほどデータが取れ
る
 ユーザレベルで定義ファイルを作成、UP
イメージ図
しかし今の興味は
 無線ネットワークの脆弱性について
Wireless Security
the vulnerability of WEP
and
applicating IPsec to wireless systems
ワイヤレスネットワーク
インフラが整っていない
 通信速度が遅い
 セキュリティを気にして・・・
 値段が高い

通信機器の速度向上
 ノートPC、PDAなどのモバイル端末の普及
 IEEE802.11b規格>11Mbps,2.4GHz
 値段もそこそこ

IEEE802.11シリーズのセキュリ
ティ
 SS-ID(or
Extended Service Set
IDentifier)
 32byte以内
–ユーザが自由に設定
 WEP
 MACアドレスフィルタリング
WEPとは?
 Wireless
Equivalent Privacy
 暗号化形式はRC4
 鍵長は64bit/128bit
40bit secret key plus 24bit IV
 104bit secret key plus 24bit IV

 IV(Initialization
Vector)
毎回変化する部分
 実際にユーザが入力するのは40bit/104bit
 英数字に直すと5文字/13文字

イメージ図
もっと分かりやすく(ないかも)
RC4の欠陥

Weaknesses in the Key Scheduling
Algorithm of RC4


Scott Fluhrer,Itsik Mantin,Adi Shamir
主にIVの仕様欠陥

IVデータスペースが24bitしかない


5Mbpsのネットワーク・アクセス・ポイントで24ビットで可能な
組み合わせのパケットが半日たらずで全部通過する
IEEE802.11規格ではIVが毎パケット違わなくて
もよい
今までどうしていたのか?
 WEPすらもしていないところがほとんど
 実際ワイヤレスネットワークをサービスと
提供しているところはWEPを使いIPsecと
絡めることで堅牢なものにしていた。
IPsecとは?(1)
 IPプロトコルのセキュリティ機能の弱さ
 IPにセキュリティを持たせよう
 IPsec
ver1 RFC1825~RFC1829
(1995.8)
 ProposedStandard
IPsec version2
 RFC2401~2451(1998.11)
IPsecとは?(2)

特徴









ネットワーク上の機密性を確保
ネットワーク上の完全性を確保
データの送信元を認証できる
標準プロトコル(IETF)
将来性(IPv6、IPv4)
アルゴリズムの選択の柔軟性
IPによる通信をすべて保護
VPNを構築可能
エンドユーザに透過的
IPsecとは?(3)

機密性(ESP:Encapsulating Security Payload)


認証(AH:Authentication Header)


パケット単位でsrcの認証
完全性(AH,ESP)


パケット単位で暗号化
パケット単位で改ざんのチェック
IP層で実現しているため上位層に透過的にセ
キュリティを提供
WEPを破るツール
 AirSnort
 2001.8.2
 Using
the Fluhrer, Mantin, and Shamir
Attack to Break WEP

128bitの鍵長で暗号化した通信をおよそ2時間
新しい暗号手法
 RSA社、Hifn社(2001.12.1)
 高速パケット・キー設定(fast

packet keying)
データの各パケットを異なった鍵で暗号化できる

IEEEによって802.11standardの追加修正として承認
 WEP2
 128ビット暗号、WEPと下位互換性あり
 128bitのIV
 ほとんどのレガシーハードウェアに対応
結論
 ワイヤレスネットワークはAPからはイン
ターネットと同じ。
 APまでの通信もWEPを使ってるだけでは
不十分
セキュリティが注目されるとき
 破られたとき
 普段通りに運用していると存在は希薄
今後取り組むべき課題
 実際にツールを使いWEPを破る実証実験
 セキュリティ技術・知識の啓蒙
 IDS開発