スライド 1

Future Internetとフロー指向
後藤滋樹, 石井翔, 山田建史,下田晃弘
1-1
NEC-早稲田大学技術交流会
2011/12/26
Future Internet

NSF GENI, Spiral 3
http://fif.kr/gfiw/11/mt/GFIW_MT_9_Chip%20Elliot.pdf
Chip Elliott, GENI Project Director
Trials of “GENI-enabled” commercial equipment
NEC WiMAX Base Station
NEC IP8800 Ethernet Switch

Internet2 Joint Techs
http://events.internet2.edu/2012/jt-loni/
Software Defined Network

Global Future Internet Summit in Korea, Nov-Dec, 2011
http://fif.kr/gfi-summit/11/program.htm
Software Defined Networking(SDN), Guru Parulkar, Stanford
1-2
NEC-早稲田大学技術交流会
2011/12/26
Future Internet

NSF Future Internet Architecture (FIA) Awards
August 27, 2010, Press Release 10-156
Named Data Networking
MobilityFirst
NEBULA
eXpressive Internet Architecture

The EU Framework Programme for Research and Innovation
HORIZON 2020 from 2014 to 2020, 80 billion Euro

OpenFlow in Europe: Linking Infrastructure and Applicaitons
http://www.fp7-ofelia.eu/about-ofelia/partners/
Partner: NEC Europe

The European Future Internet Alliance
http://initiative.future-internet.eu/publications.html
1-3
NEC-早稲田大学技術交流会
2011/12/26
Future Internet

Future Internet Assembly (FIA)
http://www.springer.com/computer/communication+netw
orks/book/978-3-642-20897-3








The network of the future
Cloud computing, Internet of services and advanced software
engineering
Internet-connected objects
Trustworthy ICT
Networked media and search systems
Socio-economic considerations for the Future Internet
Application domains for the Future Internet
Future Internet research and experimentation (FIRE)
1-4
NEC-早稲田大学技術交流会
2011/12/26
議論の余地あり




有線と無線
昔は長距離が無線、近距離は有線
現代は長距離が有線、近距離は無線
電信と電話
電信はデジタル技術、電話はアナログ技術
現代はテレビの信号を電信で送る
回線交換とパケット交換
パケットは独立ではない
回線交換は省エネルギー [1]
フロー指向は自然
データにタグを付ける←→自動的に判別する
怪しいフローの取扱
1-5
[1] 持永大, 小林克志, 工藤知宏, 村瀬一郎, 後藤滋樹, 「インターネット上のコンテンツ分布を考慮し
た光回線交換方式及びCDN方式の採用による省電力の評価」電子通信学会論文誌 B Vol.J94-B,
No.10, pp.1293--1302, October, 2011.
2
サーバ負荷分散における
OpenFlowを用いた省電力法
2-1
NEC-早稲田大技術交流会
2011/12/26
背景
震災を契機に省電力化が課題
 サーバ負荷分散システムについても
省電力化を考える必要

2011/12/26
NEC-早稲田大学技術交流会
2-2
サーバ負荷分散システムの省電力化の既存手法

サーバ負荷分散システムにおいて、サーバの待機を
行うことで動的に稼働サーバ数を制御する手法 [1]
ユーザ
群
Suspend!

ただし、 DNS (Domain Name System) を用いた
サーバ負荷分散システムについては考慮されていない

DNSキャッシュがあるため、動的な制御に適さない
⇒本研究はここに着目
[1] Takayuki Imada, Mitsuhisa Sato, Yoshihiko Hotta, Hideaki Kimura, Power management of distributed web savers by controlling server power state
and traffic prediction for QoS,
Graduate School of Systems and Information Engineering, University of Tsukuba, IEEE International Symposium on Parallel and Distributed Processing
(IPDPS) , pp.1-8, April 2008.
2011/12/26
NEC-早稲田大学技術交流会
2-3
研究目的と提案手法

研究目的
DNS (Domain Name System) を用いたサーバ
負荷分散法を改善
提案手法

OpenFlowを用いることで、
可用性を維持しつつ短時間でサーバを
待機状態にして、消費電力を削減
2011/12/26
NEC-早稲田大学技術交流会
2-4
OpenFlow


コントローラでスイッチを集中制御
一連の通信をフロー※として扱い、フローごとに制御
OpenFlow Controller (Server Software)
※ここで述べるフローは
以下のパラメータの組み合わせ
受信したスイッチのポート
送信元MACアドレス
宛先MACアドレス
VLANのタグID
送信元IPアドレス
宛先IPアドレス
送信元ポート番号
宛先ポート番号
2011/12/26
Switch
hardware
Switch
hardware
Switch
hardware
NEC-早稲田大学技術交流会
Switch
hardware
2-5
IP4のサーバ
を待機したい
既存手法におけるサーバ待機の問題点
www.example.com
DNSサーバ
www.example.com
= IP1, IP2, IP3, IP4
IP1
IP2
IP3
IP4
通信中
待機不可
Internet
待機に時間がかかる
キャッシュサーバ
www.example.com
= IP1, IP2, IP3, IP4
2011/12/26
ユーザ群
NEC-早稲田大学技術交流会
サーバが待機する際に
キャッシュがexpireするまでに
要求が到着してしまう
2-6
IP4のサーバ
を待機したい
DNSラウンドロビンの改善
www.example.com
DNSサーバ
www.example.com
= IP1, IP2, IP3, IP4
IP1
IP2
IP4
IP3
Openflow
転送
待機可能!!
Controller
The Internet
早期のサーバ待機が可能
キャッシュサーバ
www.example.com
= IP1, IP2, IP3, IP4
2011/12/26
ユーザ群
待機時、キャッシュにより到着した要
求をアドレスを書き換えて転送
NEC-早稲田大学技術交流会
2-7
サーバ待機時の提案手法の動作
待機決定前
待機対象のサーバへ
の通信が終わるまで
待機実行
待機
待機対象
のサーバ
待機対象の
サーバへの
パケットが0
待機決定
OpenFlow
コントローラ
他の
OpenFlow
スイッチへ
他の
OpenFlow
スイッチへ
OpenFlow
スイッチ
待機決定時に通信途中の通信
のみを待機対象のサーバに
転送(コントローラを使ってフ
ロー単位で定義)
2011/12/26
NEC-早稲田大学技術交流会
2-8
実証実験

提案手法が電力を削減できることを示す

実験の方針:



実験1: サーバ待機の省電力効果測定
実験2: 待機決定から待機実行までの時間比較
実験3: 実トラヒックへの提案手法の電力削減量算出
2011/12/26
NEC-早稲田大学技術交流会
2-9
実験1 (サーバ待機の省電力効果測定) 結果
表1.1 稼働時と待機時の消費電力
3秒で1Wまで
削減
Min Max
Avg
稼働時
消費電力 [W]
62
63
62
待機時
消費電力 [W]
1
1
1
表1.2 待機時の所要時間
図1 待機時のサーバの消費電力推移
•
•
サーバ待機の所要時間と消費電力を測定
3秒で、1Wと高速で低い消費電力まで抑えられ、
サーバ待機の省電力に対する有効性が示された
2011/12/26
Min
待機
所要時間 [s]
NEC-早稲田大学技術交流会
Max
2
Avg
3
2-10
3
実験2 (サーバの待機決定から待機実行までの時間比較) 概要


サーバの待機を決定してから実行可能となるまでの
時間を測定
提案手法を用いた場合と、用いない場合を比較
待機決定
2011/12/26
待機対象の
サーバへの
通信が無くなる
NEC-早稲田大学技術交流会
待機実行
2-11
実験2 (サーバの待機決定から実行までの時間比較) 実験環境
サーバ1
サーバ2
待機
OpenFlow
コントローラ
転送
OpenFlow スイッチ
※1台のスイッチ内で
仮想的に2台に分離
Layer 2 スイッチ
ソフトウェアルータ
疑似DNSラウンドロビン
クライアント
2011/12/26
• 実機で構築
• 現在OpenFlowスイッチによる
IPアドレス書き換えが低速なた
め、MACアドレス書き換えを
用いて実装
NEC-早稲田大学技術交流会
2-12
実験2 (待機決定から待機実行までの時間比較) 実験結果
既存手法は
大きく増加
提案手法は
常に2~3秒
図2 待機決定から待機実行可能となるまでの時間
•
•
時間が短いほど良い
提案手法の場合はキャッシュ時間に関わらず
高速に待機可能となる
2011/12/26
NEC-早稲田大学技術交流会
2-13
実験3 (実トラヒックへの提案手法の電力削減量算出) 概要

一日の実トラヒックを測定


ある商用ネットワークにおいて、ポート80 (HTTP) のセッション
数を測定したもの
実トラヒックに対してサーバ稼働数を設定し、
提案手法の一日の電力削減量を算出
2011/12/26
NEC-早稲田大学技術交流会
2-14
実験3 (実トラヒックへの提案手法の電力
削減量算出) において仮定する環境
www.example.com
DNSサーバ
Openflow
Controller
The Internet
キャッシュサーバ
ユーザ群
2011/12/26
NEC-早稲田大学技術交流会
実験システムのパラメータは
実験1, 2, 3と同一
2-15
100,000
220,000
90,000
200,000
80,000
180,000
70,000
160,000
この部分の
電力が削減
60,000
50,000
140,000
120,000
100,000
40,000
80,000
30,000
60,000
20,000
40,000
10,000
20,000
Session Count
Power [Wh]
実験3 (実トラヒックへの提案手法の電力削減量算出)
実トラヒックへの提案手法の適用結果
DNSキャッシュ時間=3600 [s]
Only DNS Roundrobin
Proposed
SYN/ACK Count
0
0
17:0020:0023:0002:0005:0008:0011:0014:0017:00
Time [JST]
•
•
DNSラウンドロビンのみの待機と比べて5.9%電力量を削減
待機を行わない場合と比べて51.5%電力量を削減
2011/12/26
NEC-早稲田大学技術交流会
2-16
実験3 (実トラヒックへの提案手法の電力削減量算出)
実トラヒックへの提案手法の適用結果
18,000,000
最大で消費電力を
17%削減
17,000,000
Power [Wh]
16,000,000
15,000,000
14,000,000
Traditional
13,000,000
Proposed
12,000,000
11,000,000
10,000,000
0
•
•
2,000
4,000
6,000
8,000 10,000 12,000
DNS Cache Time [Sec]
いずれの場合においても電力量の削減に成功
提案手法を実環境に適用した場合の省電力効果を示す
2011/12/26
NEC-早稲田大学技術交流会
2-17
まとめ


DNSによるサーバ負荷分散環境において、
OpenFlowスイッチを使ってキャッシュ時間による
遅延時間を補正して省電力を実現
DNSのキャッシュ時間が長いほど提案手法による
電力削減の効果が大きい
2011/12/26
NEC-早稲田大学技術交流会
2-18
3
OpenFlowスイッチによる
広域通信の効率的集約法
3-1
NEC-早大技術交流会
2011/12/26
研究の背景

情報量増大に伴い悪意のある通信の問題が顕在化


国際的なサイバー攻撃が頻発
ボットネットの活動の調査が追いつかない
通信の選別

広域的な調査を行い、多様化した攻撃の実態を掴む


効率的に攻撃手法の情報収集が必要
IT利用の利便性と情報セキュリティ対策との両立
3-2
NEC-早大技術交流会
2011/12/26
研究の目的1

既存の悪意のある通信の観測や防御に必要な機器



侵入検知システム(IDS)
侵入防御システム(IPS)
ファイアウォール
観測を行う範囲を広げると
・設備投資によるコスト増大
・機器の運用や設定にかかる人的なコスト
ネットワーク機器での制御
観測機器の設置・維持によるコストを抑えられる
広域な通信を効率良く制御できる
3-3
NEC-早大技術交流会
2011/12/26
関連研究:ポリシールーティングを用いた
ネットワークハニーポットの構築
白畑真,南政樹,村井純(情報処理学会研究報告(DSM-038) pp.55-58, 2005)

ルータにポリシーを与え検知した通信をハニーポットに集約


特定のポート番号を元にルーティング
Iptablesとiproute2を組み合わせる
ポート番号による
ポリシールーティング
ルータ
ホスト
Internet
ルータ
・エントリ数が大きくなるとルータに負荷がかかる
→ ポート番号でのみの制御
・制御内容の適用はルータ自身にのみ
→効率が悪く、スケールアウトしない
3-4
NEC-早大技術交流会
ハニーポット
2011/12/26
研究の目的2

広域な通信を一元管理できるネットワーク管理システムが必要
OpenFlowスイッチング技術

スイッチの機能を転送部と制御部に独立
制御部による転送部への一元管理

広域通信を効率良く制御し、悪意のある通信を集約する



柔軟かつ集約的な制御
悪意のある通信の選別
安定した通信の集約
3-5
NEC-早大技術交流会
2011/12/26
提案手法
OpenFlowスイッチによる
「悪意のある通信」の集約
3-6
NEC-早大技術交流会
2011/12/26
提案手法:悪意のある通信の集約
広範囲の通信をOpenFlowスイッチにより選別、誘導
選別した通信をハニーポットに集約
dshield.org が
公開している
ブラックリスト
※ O/F:OpenFlow
ポート番号
送信元IPアドレス
O/F Controller
O/Fスイッチ1
ホスト
Internet
O/Fスイッチn
機能の独立
スケールアウト可能
Controller制御
柔軟かつ動的なポリシー
柔軟かつ安定したセキュアなシステム
3-7
NEC-早大技術交流会
ハニーポット
2011/12/26
実証実験:概要

攻撃通信をhping3、正常な通信をiperfで再現

hping3: pingライクなパケット生成ツール


iperf:トラヒック発生ツール


ファイルダウンロード、スループットの測定
比較実験項目



ポートスキャン、スパムによる攻撃(送信元IPアドレスの偽造)
収集率の比較
スループットの比較 (平均スループット、分散)
実験環境

仮想サーバ上に仮想ネットワークを構築
3-8
NEC-早大技術交流会
2011/12/26
悪意のある通信の再現

hping3


icmp プロトコルで動作するping ライクなコマンド
多種様々なパケットの生成が可能
ポートスキャンとIPスプーフィングを利用
※IPスプーフィング:送信元IPアドレスの偽造

iperf



擬似トラフィック生成ツール
ファイルダウンロードやスループットの測定
サーバ/クライアント方式で動作
1Mbyteのファイルダウンロードを利用
測定はしばらく時間を置いて、通信が安定してから行う
3-9
NEC-早大技術交流会
2011/12/26
実証実験:基本構成と詳細

※ O/F:OpenFlow
サーバ‐ホスト間に2つのトラフィックによる通信を観測


収集率
:攻撃通信がハニーポットに流れた割合
スループット:サーバ‐ホスト間を測定
O/F Controller
ホスト
O/Fスイッチ1
サーバ
O/Fスイッチ2
正常な通信:iperf
攻撃通信 :hping3
3-10
NEC-早大技術交流会
ハニーポット
2011/12/26
実験環境:既存手法

ルータにポリシーを与え検知した通信をハニーポットに集約


特定のポート番号を元にルーティング
Iptablesとiproute2を組み合わせる
ポート番号による
ポリシールーティング
ポリシルータ
ホスト
サーバ
ポリシルータ
ハニーポット
3-11
NEC-早大技術交流会
2011/12/26
ポリシールーティングの構成図
iproute2とiptablesを組み合わせることで
ポリシーを設定し、転送を行う
ホスト
サーバ
3-12
NEC-早大技術交流会
2011/12/26
※ O/F:OpenFlow
実験環境:提案手法

ポリシーやコントローラの制御により悪意のある通信を選別
送信元IPアドレス
ポートポリシー
O/F Controller
更新
ホスト
The Internet
O/Fスイッチ1
サーバ
O/Fスイッチ2
ハニーポット
3-13
NEC-早大技術交流会
2011/12/26
使用したポリシー

ポート番号


nepenthesが対応、検知するポート番号 18種類
警察庁セキュリティポータルサイト@police 上位20件



参考:インターネット治安情勢 2010年7~9月
合計 27種類
ブラックリスト

Dshield.org が提供



ホストのIPアドレス群
スキャンや不正アクセス
上位100件を使用
3-14
NEC-早大技術交流会
2011/12/26
実験結果1:収集率
35
悪意のある全トラフィックから、集約した通信の割合
30
25
20
収集率 (%)
15
10
5
0
既存手法
ポート番号のみ
3-15
提案手法
ポート番号+IPブラックリスト
NEC-早大技術交流会
2011/12/26
実験結果2:平均スループット
平均スループット
(Mbps)
既存手法
提案手法
分散
13.95
0.56
12.71
0.35
スループットの
ばらつきが少ない
3-16
NEC-早大技術交流会
2011/12/26
まとめ
安定した広域通信での通信集約システム
OpenFlowによる通信選別手法
集約率に大きな改善
安定したスループット
提案手法に優位性、実用性
3-17
NEC-早大技術交流会
2011/12/26
今後の課題

1. より精度の高いポリシーを検討



2. 比較対象の検討
- vyattaなどの仮想ルータとの比較


今回はopenvswitchを使用
- OpenFlowスイッチとの比較


より動的で柔軟なポリシーの設定
ポリシルータではなく、既存のOpenFlowスイッチで
複数種類の手法を検討
3. 実機での検証

今回は仮想環境での実験
3-18
NEC-早大技術交流会
2011/12/26
4
多次元的モニタリングよるフローベースの
インターネット脅威検出システム
4-1
NEC-早大技術交流会
2011/12/26
インターネットの介した攻撃の
早期発見と抑止への取り組み
バックボーン側
インターネットのボットネット、マルウェアによる脅威を
・ バックボーン・ネットワーク側(マクロ)
・ エッジ・ネットワーク側(ミクロ)
の双方の視点から分析
従来の方法
バックボーン側(マクロ)の観測
・ 定点観測システム (JPCERT: ISDAS, NICT: NICTER)
・ ユーザのサブミッションログ
エッジ側
エッジ側(ミクロ)の観測
・ 侵入検知ソフトウェア、ファイアウォール
・ ハニーポット
本研究では攻撃を少ないリソースで効率的に収集・検出する方法を
提案することで、ネットワーク管理者の脅威検出をサポート
4-2
Darknetによる不正なパケットの検出

受信専用のサーバにグローバルIPアドレスを割り当て



スキャンニングやDDoSの発生 (Backscatter) を効率的に検出
観測するアドレス空間を範囲を広げるには多くのサーバ資源が必要
ネットワークのエッジ側でしか観測できない
Block all outgoing packets
Anomaly packets
logging
Attacker
4-3
No response
Accept all incomming packets
Firewall
PC
Sensor Box
(DarkNet implementation)
仮想センサによる広域ネットワーク脅威検
出

バックボーン上でマクロな定点観測を実現


測定点はバックボーンのルータ/スイッチ (エッジではない)
受信のみのIPアドレスを推定、センサとして活用
従来の定点観測と比較
1.測定に関わるサーバ資源を
大幅に削減
2.バックボーン、ISPに適用可
3.広範囲のネットーワーク空間を
測定対象としてカバー
インターネット
・
・
・
・
・
・
逆向きフローの存在しない一方通行のフローを検出し、
その宛先IPアドレスを仮想センサとみなす
攻撃元
(ボット、ワーム等)
仮想センサ
(数万台規模)
[1] Akihiro Shimoda and Shigeki Goto, Virtual Dark IP for Internet Threat Detection, the 25th APAN Meeting,
pp.17-23, August, 2007.
4-4
[2] Akihiro Shimoda, Shigeki Goto, Flow based anomaly traffic detection, The 13th JSPS/NRF Core iversity
Program Seminar, Aug, 2009.
広域ハニーポット展開システム DarkPots

企業・キャンパスネットワークが保有する未使用IPアドレス上に、
センサ、ハニーポットを展開
システムの動作
ハニーポット orセンサ
群
疑似応答
パケット
list of unused-IPs
Forwarder
Vacancy checker
mirroring
ゲートウェイ
インターネット
企業/キャンパス
ネットワーク
1.Vacancy checkerで未使用IP
アドレスを検出 (Firewallの情報も利用)
2.Forwarderは未使用IPアドレス
宛のパケットをセンサ群に転送
3.ハニーポット/センサは未使用IPアドレス
の代わりにパケットを受信、転送
特徴
・ 管理サブネット内部の余剰IPアドレス
を脅威観測のために活用
・ ファイアウォールと連携する場合、
未使用IPアドレスの誤検知は
一切発生しない。
[3] Akihiro Shimoda, Tatsuya Mori, and Shigeki Goto, Sensor in the Dark: Building Untraceable Large-scale Honeypots using
Virtualization Technologies, 2010 10th IEEE/IPSJ International Symposium on Applications and the Internet, pp.22-30, July, 2010.
[4] (博士論文) Akihiro Shimoda, “, “Internet Threat Detection Method based on Virtual Sensors“, 2011年3月.
4-5
Darknet / Darkpots 観測の問題点

IPv4 アドレス枯渇に伴い未使用IPアドレスが減少

IPv6 等の大きいアドレス空間に適用する場合はシス
テムの負荷が増大


未使用IPアドレスのリストをシステム内部で保持しなければならない
利用中のIPアドレスに対してはセンサ、ハニーポット
を展開できない
4-6
提案手法
4-7
従来の方式 (IPアドレスベース)
active host w/o firewall
active host w/ firewall
inactive host or unassigned (darknet)
攻撃観測は未使用のIPアドレス上でのみ
・
・
・
sensor(s)
gateway
・
・
・
the Internet
scan
packets
honeypot(s)
worms or botnet
IP address space
4-8
Analyzers
提案手法 (フローベース)
active host w/o firewall
active host w/ firewall
inactive host or unassigned (darknet)
フロー単位で正常/不正な通信を識別
→ 従来は不可能だったActive なIPアド
レス上でも 不正パケットの検出を実現
・
・
・
sensor(s)
gateway
・
・
・
the Internet
scan
packets
honeypot(s)
worms or botnet
IP address space
4-9
Analyzers
[5] 下田晃弘, 森達哉, 後藤滋樹, “DarkFlow検出によるリアルタイム・インターネット脅威検出システム”, 電子情報通信学
会 ネットワーク仮想化研究会(NV), NV2011-4, pp. 33—40, July, 2011.
フローベースの攻撃検出手法

syn に対して syn/ack が一定時間返らないフローを不正なフ
ローと見なしてセンサーに転送

待ち時間については後述の実験で評価済み
botnet/worm
forwarder
sensor/ honeypot
syn
syn (re-trans.)
syn/ack (honeypot only)
ack
4-10
forward
delay:
T sec
syn
sensor
log the
syn packet
honeypot
send a
response packet
IPアドレス網羅率を向上する
多次元的モニタリング
従来の darknet で
検出可能な範囲
unusable tcp port for threat monitoring
usable tcp port for threat monitoring
tcp/445
tcp/443
tcp/139
tcp/135
tcp/80
tcp/22
Host
Power
4-11
ON
(A)
OFF
(B)
ON
(C)
ON
(D)
OFF
(E)
ON
(F)
ON
(G)
ホストの状態
ON/ active,
OFF /inactive
ホスト名
rst or syn/ack を応答しないTCPポート宛のパケットを不正な
パケットとして検出
攻撃カバー率が大幅に向上
提案システムの
アーキテクチャ紹介
4-12
提案システムの構成
(コンポーネント)
synパケットを遅延させる
ためのキュー
Delay queue
delete
control plane
data plane
Forward the new TCP
packet to delay queue
Response
Locator
応答フロー検出時に 遅延
キューから該当するsynパ
ケットを削除
Entry the TCP flow to
the monitoring slice
Forwarding Table
センサ/ハニーポットを動作
させるネットワーク
センサに転送するフロー
情報を保持
Ingress port
Egress port
Monitoring network
The Internet
4-13
提案システムの構成
(Flow Class Allocation)
Monitoring class
Malicious flows
明示的に使われていないアドレス
空間を登録し、Darknetと併用した
観測を実現
Internet
Dark IPs/net
mirror
Grey flows
Programmable
Switch
Analyzers
.
delay queue
drop if connection
established
Non-monitoring class
Excluding hosts
Legitimate hosts
4-14
管理者側で除外したいホス
トや明示的に正常と見なす
ホストを登録
to local area network
Switch
提案システムの構成
(Policy-based Forwarding)
Sensor A
VLAN
Trunk
Policy based
Classification
Sensor B
Forwarding
Table
Switch
Honeypot A
Forwarder
Policy
4-15
Policy example
dest x.x.x.x/y => Sensor A
daddr:X and dport:445 => Honeypot A
dport:139 => Honeypot B
Honeypot B
提案システムの
ソフトウェア実装
4-16
Forwarder Implementation
ポート・ミラーリングを利用
(フロースイッチの代替)
Forwarder
Local Area
Network
delete packet
(d)
assign VLAN tag
Active
Host
(a)
Monitoring
input
process
delete
flow
(b)
Delay
Queue
forwarding
mirroring
IPTables
NIC
gateway
NIC
NIC
(c)
Internet
output
process
forwarding
table
Linux server
データプレーン、コントロールプレーン
をすべてLinuxのnetfilter上に実装
4-17
Analyzers
Honeypot / Sensor
Wrapper Implementation
sensor
NIC
honeypot
virtual interfaces
input
process
NIC
4-18
logging
process
iptables
iptables
create
○
○
○
○
○
○
○
honeypot
process
1) syn パケットの宛先IPアドレスを持つ仮想インターフェイスを生成
2) ハニーポット・プロセスにフォワード
Unix socket を利用するハニーポットはソフトウェアの変更なしに
送信元を偽装してセッションを確立できる
実証実験
4-19
実験環境

大学ゲートウェイに提案システムを設置

トラフィックは昼夜平均300Mbps



2011年7月の数週間にわたり観測
大学のすべてのサブネットを観測対象


ピーク時は1Gbps超
クラスB (/16, total 65,536 IP addresses)
評価の観点



フローベースの不正パケット検出方式の精度
ActiveなIPアドレスのカバー率
システムの性能評価
4-20
大学ネットワークにおける
TCP syn/ack パケットの遅延割合
ゲートウェイのトラフィックをモニターし
て、syn を検出後にsyn/ack を観測する
までの時間を計測
99.997%のフローはsyn/ackパケット
が 5sec 未満で到達
syn/ack が遅れたケースでは、
セッションが成立しているか?
4-21
syn/ack 遅延セッションにおける
コネクション成立数
5sec ではセッション確立フローは無し
ただし一部の例外ホスト (Planetlab ノード)を除く
4-22
syn/ack 遅延率とsynパケット保持数
のトレードオフ評価
25000
0.0070%
delay queue size
0.0060%
delayed syn/ack
ratio
0.0050%
15000
0.0040%
0.0030%
10000
0.0020%
5000
0.0010%
no established
session is located
0
2
3
4
5
6
7
8
forward delay [sec]
delayed syn/ack ratio
# of syn packets
20000
9
10
0.0000% better
遅延キューのタイムアウト (forward delay: T sec) が長すぎと…
・ キューに貯まる synパケットが増え、メモリを消費
・ ハニーポットの場合、TCPタイムアウトによりセッションが確立しない恐れ
4-23
以上を総合的に判断して遅延キューのタイムアウト (T) を5 sec に設定
ネットワーク脅威検出に
利用可能なIPアドレスの個数
80000
unused (IP-address-based)
conventional
darknet
70000
multi-dimensional
our method (flow-based)
# of IP address
60000
50000
syn/ack を応答しないポートが少なくとも1つ
以上存在するIPアドレスをカウント
40000
30000
20000
パケットを発信していない、 inactiveと推定されるIPアド
レスをカウント
(Darknet方式 / Virtual Dark IP address 方式)
10000
0
1
8
15
22
29
36
43
hours
4-24
Active なホストが多く存在するネットワークにおいて、
モニタリング対象のIPアドレスを大幅に拡張することに成功
メモリ使用率の評価
140000
7
120000
flow table [#]
memoy usage
[MB]
100000
flows or packets [#]
[#]
6
5
80000
4
60000
3
40000
2
20000
1
0
0
0
4-25
12000
second
24000
大学のIPv4アドレス空間
(/16) 全体を監視する場
合でも高々7MByteのメモ
リ消費
memory usage [Mbytes]
delay
syn queue
table
メモリ消費量は、その時
点におけるコネクション
数に依存
IPv6等の広いアドレス空
間をわずかなサーバ資源
で観測可能
まとめ

フローベースの不正パケット攻撃検出システムを提案



ActiveなIPアドレスに対する攻撃を観測できるため、IPアドレス利用率の
高い企業・大学のネットワークでも幅広くセンサ、ハニーポットを展開
IPアドレスリストを保持する必要がなく、IPv6等の広いアドレス空間も少
ないリソースで観測できる
プログラマブル・フロースイッチと連携したポリシーにより、観
測網の展開をより柔軟に


従来のDarknetと併用することで、互いの長所を活かした観測を実現
Flow Classの定義により、観測対象のスコープに含める、または除外す
るネットワークを指定できる
4-26