Future Internetとフロー指向 後藤滋樹, 石井翔, 山田建史,下田晃弘 1-1 NEC-早稲田大学技術交流会 2011/12/26 Future Internet NSF GENI, Spiral 3 http://fif.kr/gfiw/11/mt/GFIW_MT_9_Chip%20Elliot.pdf Chip Elliott, GENI Project Director Trials of “GENI-enabled” commercial equipment NEC WiMAX Base Station NEC IP8800 Ethernet Switch Internet2 Joint Techs http://events.internet2.edu/2012/jt-loni/ Software Defined Network Global Future Internet Summit in Korea, Nov-Dec, 2011 http://fif.kr/gfi-summit/11/program.htm Software Defined Networking(SDN), Guru Parulkar, Stanford 1-2 NEC-早稲田大学技術交流会 2011/12/26 Future Internet NSF Future Internet Architecture (FIA) Awards August 27, 2010, Press Release 10-156 Named Data Networking MobilityFirst NEBULA eXpressive Internet Architecture The EU Framework Programme for Research and Innovation HORIZON 2020 from 2014 to 2020, 80 billion Euro OpenFlow in Europe: Linking Infrastructure and Applicaitons http://www.fp7-ofelia.eu/about-ofelia/partners/ Partner: NEC Europe The European Future Internet Alliance http://initiative.future-internet.eu/publications.html 1-3 NEC-早稲田大学技術交流会 2011/12/26 Future Internet Future Internet Assembly (FIA) http://www.springer.com/computer/communication+netw orks/book/978-3-642-20897-3 The network of the future Cloud computing, Internet of services and advanced software engineering Internet-connected objects Trustworthy ICT Networked media and search systems Socio-economic considerations for the Future Internet Application domains for the Future Internet Future Internet research and experimentation (FIRE) 1-4 NEC-早稲田大学技術交流会 2011/12/26 議論の余地あり 有線と無線 昔は長距離が無線、近距離は有線 現代は長距離が有線、近距離は無線 電信と電話 電信はデジタル技術、電話はアナログ技術 現代はテレビの信号を電信で送る 回線交換とパケット交換 パケットは独立ではない 回線交換は省エネルギー [1] フロー指向は自然 データにタグを付ける←→自動的に判別する 怪しいフローの取扱 1-5 [1] 持永大, 小林克志, 工藤知宏, 村瀬一郎, 後藤滋樹, 「インターネット上のコンテンツ分布を考慮し た光回線交換方式及びCDN方式の採用による省電力の評価」電子通信学会論文誌 B Vol.J94-B, No.10, pp.1293--1302, October, 2011. 2 サーバ負荷分散における OpenFlowを用いた省電力法 2-1 NEC-早稲田大技術交流会 2011/12/26 背景 震災を契機に省電力化が課題 サーバ負荷分散システムについても 省電力化を考える必要 2011/12/26 NEC-早稲田大学技術交流会 2-2 サーバ負荷分散システムの省電力化の既存手法 サーバ負荷分散システムにおいて、サーバの待機を 行うことで動的に稼働サーバ数を制御する手法 [1] ユーザ 群 Suspend! ただし、 DNS (Domain Name System) を用いた サーバ負荷分散システムについては考慮されていない DNSキャッシュがあるため、動的な制御に適さない ⇒本研究はここに着目 [1] Takayuki Imada, Mitsuhisa Sato, Yoshihiko Hotta, Hideaki Kimura, Power management of distributed web savers by controlling server power state and traffic prediction for QoS, Graduate School of Systems and Information Engineering, University of Tsukuba, IEEE International Symposium on Parallel and Distributed Processing (IPDPS) , pp.1-8, April 2008. 2011/12/26 NEC-早稲田大学技術交流会 2-3 研究目的と提案手法 研究目的 DNS (Domain Name System) を用いたサーバ 負荷分散法を改善 提案手法 OpenFlowを用いることで、 可用性を維持しつつ短時間でサーバを 待機状態にして、消費電力を削減 2011/12/26 NEC-早稲田大学技術交流会 2-4 OpenFlow コントローラでスイッチを集中制御 一連の通信をフロー※として扱い、フローごとに制御 OpenFlow Controller (Server Software) ※ここで述べるフローは 以下のパラメータの組み合わせ 受信したスイッチのポート 送信元MACアドレス 宛先MACアドレス VLANのタグID 送信元IPアドレス 宛先IPアドレス 送信元ポート番号 宛先ポート番号 2011/12/26 Switch hardware Switch hardware Switch hardware NEC-早稲田大学技術交流会 Switch hardware 2-5 IP4のサーバ を待機したい 既存手法におけるサーバ待機の問題点 www.example.com DNSサーバ www.example.com = IP1, IP2, IP3, IP4 IP1 IP2 IP3 IP4 通信中 待機不可 Internet 待機に時間がかかる キャッシュサーバ www.example.com = IP1, IP2, IP3, IP4 2011/12/26 ユーザ群 NEC-早稲田大学技術交流会 サーバが待機する際に キャッシュがexpireするまでに 要求が到着してしまう 2-6 IP4のサーバ を待機したい DNSラウンドロビンの改善 www.example.com DNSサーバ www.example.com = IP1, IP2, IP3, IP4 IP1 IP2 IP4 IP3 Openflow 転送 待機可能!! Controller The Internet 早期のサーバ待機が可能 キャッシュサーバ www.example.com = IP1, IP2, IP3, IP4 2011/12/26 ユーザ群 待機時、キャッシュにより到着した要 求をアドレスを書き換えて転送 NEC-早稲田大学技術交流会 2-7 サーバ待機時の提案手法の動作 待機決定前 待機対象のサーバへ の通信が終わるまで 待機実行 待機 待機対象 のサーバ 待機対象の サーバへの パケットが0 待機決定 OpenFlow コントローラ 他の OpenFlow スイッチへ 他の OpenFlow スイッチへ OpenFlow スイッチ 待機決定時に通信途中の通信 のみを待機対象のサーバに 転送(コントローラを使ってフ ロー単位で定義) 2011/12/26 NEC-早稲田大学技術交流会 2-8 実証実験 提案手法が電力を削減できることを示す 実験の方針: 実験1: サーバ待機の省電力効果測定 実験2: 待機決定から待機実行までの時間比較 実験3: 実トラヒックへの提案手法の電力削減量算出 2011/12/26 NEC-早稲田大学技術交流会 2-9 実験1 (サーバ待機の省電力効果測定) 結果 表1.1 稼働時と待機時の消費電力 3秒で1Wまで 削減 Min Max Avg 稼働時 消費電力 [W] 62 63 62 待機時 消費電力 [W] 1 1 1 表1.2 待機時の所要時間 図1 待機時のサーバの消費電力推移 • • サーバ待機の所要時間と消費電力を測定 3秒で、1Wと高速で低い消費電力まで抑えられ、 サーバ待機の省電力に対する有効性が示された 2011/12/26 Min 待機 所要時間 [s] NEC-早稲田大学技術交流会 Max 2 Avg 3 2-10 3 実験2 (サーバの待機決定から待機実行までの時間比較) 概要 サーバの待機を決定してから実行可能となるまでの 時間を測定 提案手法を用いた場合と、用いない場合を比較 待機決定 2011/12/26 待機対象の サーバへの 通信が無くなる NEC-早稲田大学技術交流会 待機実行 2-11 実験2 (サーバの待機決定から実行までの時間比較) 実験環境 サーバ1 サーバ2 待機 OpenFlow コントローラ 転送 OpenFlow スイッチ ※1台のスイッチ内で 仮想的に2台に分離 Layer 2 スイッチ ソフトウェアルータ 疑似DNSラウンドロビン クライアント 2011/12/26 • 実機で構築 • 現在OpenFlowスイッチによる IPアドレス書き換えが低速なた め、MACアドレス書き換えを 用いて実装 NEC-早稲田大学技術交流会 2-12 実験2 (待機決定から待機実行までの時間比較) 実験結果 既存手法は 大きく増加 提案手法は 常に2~3秒 図2 待機決定から待機実行可能となるまでの時間 • • 時間が短いほど良い 提案手法の場合はキャッシュ時間に関わらず 高速に待機可能となる 2011/12/26 NEC-早稲田大学技術交流会 2-13 実験3 (実トラヒックへの提案手法の電力削減量算出) 概要 一日の実トラヒックを測定 ある商用ネットワークにおいて、ポート80 (HTTP) のセッション 数を測定したもの 実トラヒックに対してサーバ稼働数を設定し、 提案手法の一日の電力削減量を算出 2011/12/26 NEC-早稲田大学技術交流会 2-14 実験3 (実トラヒックへの提案手法の電力 削減量算出) において仮定する環境 www.example.com DNSサーバ Openflow Controller The Internet キャッシュサーバ ユーザ群 2011/12/26 NEC-早稲田大学技術交流会 実験システムのパラメータは 実験1, 2, 3と同一 2-15 100,000 220,000 90,000 200,000 80,000 180,000 70,000 160,000 この部分の 電力が削減 60,000 50,000 140,000 120,000 100,000 40,000 80,000 30,000 60,000 20,000 40,000 10,000 20,000 Session Count Power [Wh] 実験3 (実トラヒックへの提案手法の電力削減量算出) 実トラヒックへの提案手法の適用結果 DNSキャッシュ時間=3600 [s] Only DNS Roundrobin Proposed SYN/ACK Count 0 0 17:0020:0023:0002:0005:0008:0011:0014:0017:00 Time [JST] • • DNSラウンドロビンのみの待機と比べて5.9%電力量を削減 待機を行わない場合と比べて51.5%電力量を削減 2011/12/26 NEC-早稲田大学技術交流会 2-16 実験3 (実トラヒックへの提案手法の電力削減量算出) 実トラヒックへの提案手法の適用結果 18,000,000 最大で消費電力を 17%削減 17,000,000 Power [Wh] 16,000,000 15,000,000 14,000,000 Traditional 13,000,000 Proposed 12,000,000 11,000,000 10,000,000 0 • • 2,000 4,000 6,000 8,000 10,000 12,000 DNS Cache Time [Sec] いずれの場合においても電力量の削減に成功 提案手法を実環境に適用した場合の省電力効果を示す 2011/12/26 NEC-早稲田大学技術交流会 2-17 まとめ DNSによるサーバ負荷分散環境において、 OpenFlowスイッチを使ってキャッシュ時間による 遅延時間を補正して省電力を実現 DNSのキャッシュ時間が長いほど提案手法による 電力削減の効果が大きい 2011/12/26 NEC-早稲田大学技術交流会 2-18 3 OpenFlowスイッチによる 広域通信の効率的集約法 3-1 NEC-早大技術交流会 2011/12/26 研究の背景 情報量増大に伴い悪意のある通信の問題が顕在化 国際的なサイバー攻撃が頻発 ボットネットの活動の調査が追いつかない 通信の選別 広域的な調査を行い、多様化した攻撃の実態を掴む 効率的に攻撃手法の情報収集が必要 IT利用の利便性と情報セキュリティ対策との両立 3-2 NEC-早大技術交流会 2011/12/26 研究の目的1 既存の悪意のある通信の観測や防御に必要な機器 侵入検知システム(IDS) 侵入防御システム(IPS) ファイアウォール 観測を行う範囲を広げると ・設備投資によるコスト増大 ・機器の運用や設定にかかる人的なコスト ネットワーク機器での制御 観測機器の設置・維持によるコストを抑えられる 広域な通信を効率良く制御できる 3-3 NEC-早大技術交流会 2011/12/26 関連研究:ポリシールーティングを用いた ネットワークハニーポットの構築 白畑真,南政樹,村井純(情報処理学会研究報告(DSM-038) pp.55-58, 2005) ルータにポリシーを与え検知した通信をハニーポットに集約 特定のポート番号を元にルーティング Iptablesとiproute2を組み合わせる ポート番号による ポリシールーティング ルータ ホスト Internet ルータ ・エントリ数が大きくなるとルータに負荷がかかる → ポート番号でのみの制御 ・制御内容の適用はルータ自身にのみ →効率が悪く、スケールアウトしない 3-4 NEC-早大技術交流会 ハニーポット 2011/12/26 研究の目的2 広域な通信を一元管理できるネットワーク管理システムが必要 OpenFlowスイッチング技術 スイッチの機能を転送部と制御部に独立 制御部による転送部への一元管理 広域通信を効率良く制御し、悪意のある通信を集約する 柔軟かつ集約的な制御 悪意のある通信の選別 安定した通信の集約 3-5 NEC-早大技術交流会 2011/12/26 提案手法 OpenFlowスイッチによる 「悪意のある通信」の集約 3-6 NEC-早大技術交流会 2011/12/26 提案手法:悪意のある通信の集約 広範囲の通信をOpenFlowスイッチにより選別、誘導 選別した通信をハニーポットに集約 dshield.org が 公開している ブラックリスト ※ O/F:OpenFlow ポート番号 送信元IPアドレス O/F Controller O/Fスイッチ1 ホスト Internet O/Fスイッチn 機能の独立 スケールアウト可能 Controller制御 柔軟かつ動的なポリシー 柔軟かつ安定したセキュアなシステム 3-7 NEC-早大技術交流会 ハニーポット 2011/12/26 実証実験:概要 攻撃通信をhping3、正常な通信をiperfで再現 hping3: pingライクなパケット生成ツール iperf:トラヒック発生ツール ファイルダウンロード、スループットの測定 比較実験項目 ポートスキャン、スパムによる攻撃(送信元IPアドレスの偽造) 収集率の比較 スループットの比較 (平均スループット、分散) 実験環境 仮想サーバ上に仮想ネットワークを構築 3-8 NEC-早大技術交流会 2011/12/26 悪意のある通信の再現 hping3 icmp プロトコルで動作するping ライクなコマンド 多種様々なパケットの生成が可能 ポートスキャンとIPスプーフィングを利用 ※IPスプーフィング:送信元IPアドレスの偽造 iperf 擬似トラフィック生成ツール ファイルダウンロードやスループットの測定 サーバ/クライアント方式で動作 1Mbyteのファイルダウンロードを利用 測定はしばらく時間を置いて、通信が安定してから行う 3-9 NEC-早大技術交流会 2011/12/26 実証実験:基本構成と詳細 ※ O/F:OpenFlow サーバ‐ホスト間に2つのトラフィックによる通信を観測 収集率 :攻撃通信がハニーポットに流れた割合 スループット:サーバ‐ホスト間を測定 O/F Controller ホスト O/Fスイッチ1 サーバ O/Fスイッチ2 正常な通信:iperf 攻撃通信 :hping3 3-10 NEC-早大技術交流会 ハニーポット 2011/12/26 実験環境:既存手法 ルータにポリシーを与え検知した通信をハニーポットに集約 特定のポート番号を元にルーティング Iptablesとiproute2を組み合わせる ポート番号による ポリシールーティング ポリシルータ ホスト サーバ ポリシルータ ハニーポット 3-11 NEC-早大技術交流会 2011/12/26 ポリシールーティングの構成図 iproute2とiptablesを組み合わせることで ポリシーを設定し、転送を行う ホスト サーバ 3-12 NEC-早大技術交流会 2011/12/26 ※ O/F:OpenFlow 実験環境:提案手法 ポリシーやコントローラの制御により悪意のある通信を選別 送信元IPアドレス ポートポリシー O/F Controller 更新 ホスト The Internet O/Fスイッチ1 サーバ O/Fスイッチ2 ハニーポット 3-13 NEC-早大技術交流会 2011/12/26 使用したポリシー ポート番号 nepenthesが対応、検知するポート番号 18種類 警察庁セキュリティポータルサイト@police 上位20件 参考:インターネット治安情勢 2010年7~9月 合計 27種類 ブラックリスト Dshield.org が提供 ホストのIPアドレス群 スキャンや不正アクセス 上位100件を使用 3-14 NEC-早大技術交流会 2011/12/26 実験結果1:収集率 35 悪意のある全トラフィックから、集約した通信の割合 30 25 20 収集率 (%) 15 10 5 0 既存手法 ポート番号のみ 3-15 提案手法 ポート番号+IPブラックリスト NEC-早大技術交流会 2011/12/26 実験結果2:平均スループット 平均スループット (Mbps) 既存手法 提案手法 分散 13.95 0.56 12.71 0.35 スループットの ばらつきが少ない 3-16 NEC-早大技術交流会 2011/12/26 まとめ 安定した広域通信での通信集約システム OpenFlowによる通信選別手法 集約率に大きな改善 安定したスループット 提案手法に優位性、実用性 3-17 NEC-早大技術交流会 2011/12/26 今後の課題 1. より精度の高いポリシーを検討 2. 比較対象の検討 - vyattaなどの仮想ルータとの比較 今回はopenvswitchを使用 - OpenFlowスイッチとの比較 より動的で柔軟なポリシーの設定 ポリシルータではなく、既存のOpenFlowスイッチで 複数種類の手法を検討 3. 実機での検証 今回は仮想環境での実験 3-18 NEC-早大技術交流会 2011/12/26 4 多次元的モニタリングよるフローベースの インターネット脅威検出システム 4-1 NEC-早大技術交流会 2011/12/26 インターネットの介した攻撃の 早期発見と抑止への取り組み バックボーン側 インターネットのボットネット、マルウェアによる脅威を ・ バックボーン・ネットワーク側(マクロ) ・ エッジ・ネットワーク側(ミクロ) の双方の視点から分析 従来の方法 バックボーン側(マクロ)の観測 ・ 定点観測システム (JPCERT: ISDAS, NICT: NICTER) ・ ユーザのサブミッションログ エッジ側 エッジ側(ミクロ)の観測 ・ 侵入検知ソフトウェア、ファイアウォール ・ ハニーポット 本研究では攻撃を少ないリソースで効率的に収集・検出する方法を 提案することで、ネットワーク管理者の脅威検出をサポート 4-2 Darknetによる不正なパケットの検出 受信専用のサーバにグローバルIPアドレスを割り当て スキャンニングやDDoSの発生 (Backscatter) を効率的に検出 観測するアドレス空間を範囲を広げるには多くのサーバ資源が必要 ネットワークのエッジ側でしか観測できない Block all outgoing packets Anomaly packets logging Attacker 4-3 No response Accept all incomming packets Firewall PC Sensor Box (DarkNet implementation) 仮想センサによる広域ネットワーク脅威検 出 バックボーン上でマクロな定点観測を実現 測定点はバックボーンのルータ/スイッチ (エッジではない) 受信のみのIPアドレスを推定、センサとして活用 従来の定点観測と比較 1.測定に関わるサーバ資源を 大幅に削減 2.バックボーン、ISPに適用可 3.広範囲のネットーワーク空間を 測定対象としてカバー インターネット ・ ・ ・ ・ ・ ・ 逆向きフローの存在しない一方通行のフローを検出し、 その宛先IPアドレスを仮想センサとみなす 攻撃元 (ボット、ワーム等) 仮想センサ (数万台規模) [1] Akihiro Shimoda and Shigeki Goto, Virtual Dark IP for Internet Threat Detection, the 25th APAN Meeting, pp.17-23, August, 2007. 4-4 [2] Akihiro Shimoda, Shigeki Goto, Flow based anomaly traffic detection, The 13th JSPS/NRF Core iversity Program Seminar, Aug, 2009. 広域ハニーポット展開システム DarkPots 企業・キャンパスネットワークが保有する未使用IPアドレス上に、 センサ、ハニーポットを展開 システムの動作 ハニーポット orセンサ 群 疑似応答 パケット list of unused-IPs Forwarder Vacancy checker mirroring ゲートウェイ インターネット 企業/キャンパス ネットワーク 1.Vacancy checkerで未使用IP アドレスを検出 (Firewallの情報も利用) 2.Forwarderは未使用IPアドレス 宛のパケットをセンサ群に転送 3.ハニーポット/センサは未使用IPアドレス の代わりにパケットを受信、転送 特徴 ・ 管理サブネット内部の余剰IPアドレス を脅威観測のために活用 ・ ファイアウォールと連携する場合、 未使用IPアドレスの誤検知は 一切発生しない。 [3] Akihiro Shimoda, Tatsuya Mori, and Shigeki Goto, Sensor in the Dark: Building Untraceable Large-scale Honeypots using Virtualization Technologies, 2010 10th IEEE/IPSJ International Symposium on Applications and the Internet, pp.22-30, July, 2010. [4] (博士論文) Akihiro Shimoda, “, “Internet Threat Detection Method based on Virtual Sensors“, 2011年3月. 4-5 Darknet / Darkpots 観測の問題点 IPv4 アドレス枯渇に伴い未使用IPアドレスが減少 IPv6 等の大きいアドレス空間に適用する場合はシス テムの負荷が増大 未使用IPアドレスのリストをシステム内部で保持しなければならない 利用中のIPアドレスに対してはセンサ、ハニーポット を展開できない 4-6 提案手法 4-7 従来の方式 (IPアドレスベース) active host w/o firewall active host w/ firewall inactive host or unassigned (darknet) 攻撃観測は未使用のIPアドレス上でのみ ・ ・ ・ sensor(s) gateway ・ ・ ・ the Internet scan packets honeypot(s) worms or botnet IP address space 4-8 Analyzers 提案手法 (フローベース) active host w/o firewall active host w/ firewall inactive host or unassigned (darknet) フロー単位で正常/不正な通信を識別 → 従来は不可能だったActive なIPアド レス上でも 不正パケットの検出を実現 ・ ・ ・ sensor(s) gateway ・ ・ ・ the Internet scan packets honeypot(s) worms or botnet IP address space 4-9 Analyzers [5] 下田晃弘, 森達哉, 後藤滋樹, “DarkFlow検出によるリアルタイム・インターネット脅威検出システム”, 電子情報通信学 会 ネットワーク仮想化研究会(NV), NV2011-4, pp. 33—40, July, 2011. フローベースの攻撃検出手法 syn に対して syn/ack が一定時間返らないフローを不正なフ ローと見なしてセンサーに転送 待ち時間については後述の実験で評価済み botnet/worm forwarder sensor/ honeypot syn syn (re-trans.) syn/ack (honeypot only) ack 4-10 forward delay: T sec syn sensor log the syn packet honeypot send a response packet IPアドレス網羅率を向上する 多次元的モニタリング 従来の darknet で 検出可能な範囲 unusable tcp port for threat monitoring usable tcp port for threat monitoring tcp/445 tcp/443 tcp/139 tcp/135 tcp/80 tcp/22 Host Power 4-11 ON (A) OFF (B) ON (C) ON (D) OFF (E) ON (F) ON (G) ホストの状態 ON/ active, OFF /inactive ホスト名 rst or syn/ack を応答しないTCPポート宛のパケットを不正な パケットとして検出 攻撃カバー率が大幅に向上 提案システムの アーキテクチャ紹介 4-12 提案システムの構成 (コンポーネント) synパケットを遅延させる ためのキュー Delay queue delete control plane data plane Forward the new TCP packet to delay queue Response Locator 応答フロー検出時に 遅延 キューから該当するsynパ ケットを削除 Entry the TCP flow to the monitoring slice Forwarding Table センサ/ハニーポットを動作 させるネットワーク センサに転送するフロー 情報を保持 Ingress port Egress port Monitoring network The Internet 4-13 提案システムの構成 (Flow Class Allocation) Monitoring class Malicious flows 明示的に使われていないアドレス 空間を登録し、Darknetと併用した 観測を実現 Internet Dark IPs/net mirror Grey flows Programmable Switch Analyzers . delay queue drop if connection established Non-monitoring class Excluding hosts Legitimate hosts 4-14 管理者側で除外したいホス トや明示的に正常と見なす ホストを登録 to local area network Switch 提案システムの構成 (Policy-based Forwarding) Sensor A VLAN Trunk Policy based Classification Sensor B Forwarding Table Switch Honeypot A Forwarder Policy 4-15 Policy example dest x.x.x.x/y => Sensor A daddr:X and dport:445 => Honeypot A dport:139 => Honeypot B Honeypot B 提案システムの ソフトウェア実装 4-16 Forwarder Implementation ポート・ミラーリングを利用 (フロースイッチの代替) Forwarder Local Area Network delete packet (d) assign VLAN tag Active Host (a) Monitoring input process delete flow (b) Delay Queue forwarding mirroring IPTables NIC gateway NIC NIC (c) Internet output process forwarding table Linux server データプレーン、コントロールプレーン をすべてLinuxのnetfilter上に実装 4-17 Analyzers Honeypot / Sensor Wrapper Implementation sensor NIC honeypot virtual interfaces input process NIC 4-18 logging process iptables iptables create ○ ○ ○ ○ ○ ○ ○ honeypot process 1) syn パケットの宛先IPアドレスを持つ仮想インターフェイスを生成 2) ハニーポット・プロセスにフォワード Unix socket を利用するハニーポットはソフトウェアの変更なしに 送信元を偽装してセッションを確立できる 実証実験 4-19 実験環境 大学ゲートウェイに提案システムを設置 トラフィックは昼夜平均300Mbps 2011年7月の数週間にわたり観測 大学のすべてのサブネットを観測対象 ピーク時は1Gbps超 クラスB (/16, total 65,536 IP addresses) 評価の観点 フローベースの不正パケット検出方式の精度 ActiveなIPアドレスのカバー率 システムの性能評価 4-20 大学ネットワークにおける TCP syn/ack パケットの遅延割合 ゲートウェイのトラフィックをモニターし て、syn を検出後にsyn/ack を観測する までの時間を計測 99.997%のフローはsyn/ackパケット が 5sec 未満で到達 syn/ack が遅れたケースでは、 セッションが成立しているか? 4-21 syn/ack 遅延セッションにおける コネクション成立数 5sec ではセッション確立フローは無し ただし一部の例外ホスト (Planetlab ノード)を除く 4-22 syn/ack 遅延率とsynパケット保持数 のトレードオフ評価 25000 0.0070% delay queue size 0.0060% delayed syn/ack ratio 0.0050% 15000 0.0040% 0.0030% 10000 0.0020% 5000 0.0010% no established session is located 0 2 3 4 5 6 7 8 forward delay [sec] delayed syn/ack ratio # of syn packets 20000 9 10 0.0000% better 遅延キューのタイムアウト (forward delay: T sec) が長すぎと… ・ キューに貯まる synパケットが増え、メモリを消費 ・ ハニーポットの場合、TCPタイムアウトによりセッションが確立しない恐れ 4-23 以上を総合的に判断して遅延キューのタイムアウト (T) を5 sec に設定 ネットワーク脅威検出に 利用可能なIPアドレスの個数 80000 unused (IP-address-based) conventional darknet 70000 multi-dimensional our method (flow-based) # of IP address 60000 50000 syn/ack を応答しないポートが少なくとも1つ 以上存在するIPアドレスをカウント 40000 30000 20000 パケットを発信していない、 inactiveと推定されるIPアド レスをカウント (Darknet方式 / Virtual Dark IP address 方式) 10000 0 1 8 15 22 29 36 43 hours 4-24 Active なホストが多く存在するネットワークにおいて、 モニタリング対象のIPアドレスを大幅に拡張することに成功 メモリ使用率の評価 140000 7 120000 flow table [#] memoy usage [MB] 100000 flows or packets [#] [#] 6 5 80000 4 60000 3 40000 2 20000 1 0 0 0 4-25 12000 second 24000 大学のIPv4アドレス空間 (/16) 全体を監視する場 合でも高々7MByteのメモ リ消費 memory usage [Mbytes] delay syn queue table メモリ消費量は、その時 点におけるコネクション 数に依存 IPv6等の広いアドレス空 間をわずかなサーバ資源 で観測可能 まとめ フローベースの不正パケット攻撃検出システムを提案 ActiveなIPアドレスに対する攻撃を観測できるため、IPアドレス利用率の 高い企業・大学のネットワークでも幅広くセンサ、ハニーポットを展開 IPアドレスリストを保持する必要がなく、IPv6等の広いアドレス空間も少 ないリソースで観測できる プログラマブル・フロースイッチと連携したポリシーにより、観 測網の展開をより柔軟に 従来のDarknetと併用することで、互いの長所を活かした観測を実現 Flow Classの定義により、観測対象のスコープに含める、または除外す るネットワークを指定できる 4-26
© Copyright 2024 ExpyDoc
