今までの研究成果及び NOVELプロジェクトでの今後の展望政策・メディア研究科一年直江健介([email protected]) 所属  ニューラルネットワーク  武藤研究会セキュリティ班INAS  既存の侵入検知システム  ネットワークトラフィックの可視化  ウイルス  カーネルセキュリティ  新しいネットワーク侵入検知システムの開発新しい侵入検知システム  クラスタ分析手法を用いたIDS  分散型侵入検知システム（DIDS) セキュリティの現状  PCユーザの増加  ウイルスによる被害の増加、最近は減少傾向  常時接続のインフラやサービスが充実  SOHOや家庭内LANなどの小規模ネットワーク 今まで以上、リアルタイムに不正アクセスを検出したい（図 IPAから） IDSの位置付け侵入の検出侵入失敗の検出 IDSによる通知環境と脅威に応じた動的（能動的）な防御不正侵入・不正アクセスの具体的な行動の流れ侵入検知システム（IDS）とは？  IDSの種類    ネットワークベースホストベース検出方法   不正検出異常検出新しい侵入検知システム  クラスタ分析手法を用いたIDS  分散型侵入検知システム（DIDS) 既存IDSの問題点と課題  ネットワークベースIDSの欠点     シグネチャの管理が大変なため安定した運用が難しい未知の攻撃手法に対して脆いネットワーク負荷がかかる NIDS/HIDS両方の欠点（根源的な問題）   ホストが落とされたら終わり SshやVPNなどの暗号化された監視が不可能アイデア他のIDSが取りこぼす攻撃を検出できるIDSを開発したい！  未知の攻撃に対しても反応したい！  異常検出アルゴリズムを用いればできる？？ ADが敬遠されてきた理由  誤警報率が高い  プロファイルの作成が大変  正常の定義が困難関連研究・関連IDS  「ネットワークトラヒックのクラスタリングによる侵入検出手法に関する研究」  SFC修士論文磯崎宏氏  「侵入検知に関するレポートでは長期プロファイルと短期プロファイルを比較する統計的異常解析手法」  沖電気研究開発武内春夫氏、福士賢二氏 INASの開発するNIDS  用いる技術ークラスタ分析を用いた異常検出  異常検出のアルゴリズム   統計的手法、ルールベース、ニューラルネットワーク、クラスタ分析正規化＞距離を測る＞判別   クラスタリング手法：k-平均法、マキシマムニューラルネットワークモデル、kohonenモデル判別手法：ユークリッド距離、マハラノビス距離クラスタ分析（分類検出の利点）  属性間の関係を調査する事が可能  各攻撃手法を検出する為の効果的な属性に関する背景知識を持つ必要が無い  要するに経験的にやらなくてはいけなかった不正検出法と違いこのクラスタ分析による異常検出法は予備知識を必要としない＝未知の攻撃にも対応可能新しい侵入検知システム  クラスタ分析手法を用いたIDS  分散型侵入検知システム（DIDS) 作成しようとするDIDSとは？検出部分のセンサと制御部分のマネジャを一括。ログ、シグネチャ、プロファイルなどの検出に必要なDBを分散配置  攻撃手法や不正アクセスのパターンを蓄積、学習  異常検出のアルゴリズムも採択することで誤警報率を抑制  シグネチャと攻撃手法、不正行為とプロファイルの比較を高速化（メタデータを生成）  嬉しいことは？  一つ一つのマシンでの処理は減る  ネットワーク全体としてみたときに連携力があり堅牢になる  PCユーザで管理可能  パーソナルFWに取って代わる？  ユーザが多ければ多いほどデータが取れる  ユーザレベルで定義ファイルを作成、UP イメージ図しかし今の興味は  無線ネットワークの脆弱性について Wireless Security the vulnerability of WEP and applicating IPsec to wireless systems ワイヤレスネットワークインフラが整っていない  通信速度が遅い  セキュリティを気にして・・・  値段が高い  通信機器の速度向上  ノートPC、PDAなどのモバイル端末の普及  IEEE802.11b規格>11Mbps,2.4GHz  値段もそこそこ  IEEE802.11シリーズのセキュリティ  SS-ID(or Extended Service Set IDentifier)  32byte以内 –ユーザが自由に設定  WEP  MACアドレスフィルタリング WEPとは？  Wireless Equivalent Privacy  暗号化形式はRC4  鍵長は64bit/128bit 40bit secret key plus 24bit IV  104bit secret key plus 24bit IV   IV(Initialization Vector) 毎回変化する部分  実際にユーザが入力するのは40bit/104bit  英数字に直すと５文字/13文字  イメージ図もっと分かりやすく（ないかも） RC4の欠陥  Weaknesses in the Key Scheduling Algorithm of RC4   Scott Fluhrer,Itsik Mantin,Adi Shamir 主にIVの仕様欠陥  IVデータスペースが24bitしかない   5Mbpsのネットワーク・アクセス・ポイントで24ビットで可能な組み合わせのパケットが半日たらずで全部通過する IEEE802.11規格ではIVが毎パケット違わなくてもよい今までどうしていたのか？  WEPすらもしていないところがほとんど  実際ワイヤレスネットワークをサービスと提供しているところはWEPを使いIPsecと絡めることで堅牢なものにしていた。 IPsecとは？(1)  IPプロトコルのセキュリティ機能の弱さ  IPにセキュリティを持たせよう  IPsec ver1 RFC1825~RFC1829 （1995.8）  ProposedStandard IPsec version2  RFC2401~2451(1998.11) IPsecとは？（２）  特徴          ネットワーク上の機密性を確保ネットワーク上の完全性を確保データの送信元を認証できる標準プロトコル（IETF) 将来性（IPｖ６、IPｖ４）アルゴリズムの選択の柔軟性 IPによる通信をすべて保護 VPNを構築可能エンドユーザに透過的 IPsecとは？（３）  機密性(ESP:Encapsulating Security Payload)   認証(AH:Authentication Header)   パケット単位でsrcの認証完全性(AH,ESP)   パケット単位で暗号化パケット単位で改ざんのチェック IP層で実現しているため上位層に透過的にセキュリティを提供 WEPを破るツール  AirSnort  2001.8.2  Using the Fluhrer, Mantin, and Shamir Attack to Break WEP  128bitの鍵長で暗号化した通信をおよそ2時間新しい暗号手法  RSA社、Hifn社(2001.12.1)  高速パケット･キー設定(fast  packet keying) データの各パケットを異なった鍵で暗号化できる  IEEEによって802.11standardの追加修正として承認  WEP2  128ビット暗号、WEPと下位互換性あり  128bitのIV  ほとんどのレガシーハードウェアに対応結論  ワイヤレスネットワークはAPからはインターネットと同じ。  APまでの通信もWEPを使ってるだけでは不十分セキュリティが注目されるとき  破られたとき  普段通りに運用していると存在は希薄今後取り組むべき課題  実際にツールを使いWEPを破る実証実験  セキュリティ技術・知識の啓蒙  IDS開発