PowerPoint プレゼンテーション

インターネット
早期広域攻撃警戒システム
WCLSCAN
WCLSCANプロジェクトリーダー
鈴
木
裕
信
[email protected]
ひとことであらわすと…
WCLSCAN
危険を自動推定するシステム
JPCERT/CC, IPA, @Police
人間が見るためのデータをまとめるシステム
概要
• インターネット上で発生している広域な攻撃を２４
時間３６５日自動的に検知し状況を解析し危険度
を予測する
– “広域情報収集／データベース化／自動化分析”の３
つの機能からなり独立しているので拡張が簡単
– 状況を診断するような専任オペレータは不要
– ベイズ推定（推測統計学）を使い危険度を計算させる
ので確信度が高い
• いつでもどこでも知ることができる
– パソコンからだけではなく携帯電話からのチェックも
可能なのでいつでもどこでもチェックができる
– デスクトップ上から常時モニタリングができる
ここまでの道のり
• 1999年: clscanを作成・運用・公開
– ルータのセキュリティログPretty Printツール
• 2001年: セキュリティログを分析した結果を発表
– パケット到着とインシデントとの関係、CERT/CCアラートやベン
ダー脆弱性情報とインシデントアクティビティの関係、Zero-Day
アタックの発見等など
– ソフトウェアシンポジューム 2001やLinux カンファレンス2001で
発表→広域ネットワーク上でのシステムの提案
• 2002年: WCLSCANの開発開始
– clscanの広域ネットワーク版
• 2003年: ベイズ推定を使った推論部の導入
– Internet Weather Report aka WCLSCANとなる
ゼロから考えたオリジナルなシステム
最近の状況
• 成果を論文として発表
– 16th Annual FIRST Conference on Computer Security
Incident Handling
– ソフトウェアシンポジューム 2004
– ほか２件
• ボランティアベースの研究活動として活発に進め
られている
– 2004年10月末現在参加組織数８
• 研究所１・大学４・企業３
Sensor Box
TCP/IP via Internet
Web Site Service
www.clscan.org
b
Feb
Feb
Feb
Fe
Feb
Feb
b
9
10
11
Feb
Feb
Fe
Feb
8
7
6
5
4
3
04
04
04
04
04
20
04
20
20
04
20
04
20
20
20
04
20
04
20
20
20
04
Graph
&
Pretty Print
12
20
04
Port 1080
Thu
W
ed
Tue
on
M
Feb
1
2
Port 3127
Su
n
Sa
tF
eb
Fri
Thu
W
ed
Tue
Attacker Node
on
Su
n
Sensor Box
Modem
Encrypted data
M
Sensor Box
W ed
M
W ed ay 16
M
12
W ed ay 30 :00:
J 12 00
W ed un 13 :00: 2001
Jun 12 00 20
W ed 27 :00: 01
00
Ju 12
W ed l11 :00: 2001
12 00
W ed Jul25 :00 2001
:00
W ed Aug 12:00 2001
A 8 12 :00
W ed ug 22 :00 2001
12 :00
W ed Sep :00 2001
Sep 5 12 :00 20
W ed 19 :00 01
12 :00
W ed O ct :00: 2001
O 3 12 00
W ed ct17 :00 2001
O 12 :00
W ed ct31 :00: 2001
00
W ed Nov 12:00: 2001
N 14 00
W ed ov 2812:00 2001
D ec 12 :00
W ed 12 :00: 2001
D 12 00
W ed ec 26 :00: 2001
12 00
W ed Jan :00 2001
Jan 9 12 :00 20
W ed 23 :00: 01
12 00
W ed Feb :00 2002
Fe 6 12 :00
W ed b 20 :00 2002
:00
W ed M ar 12:00: 20
02
M ar 6 12 00
W ed 20 :00: 2002
12 00
W ed Apr :00: 2002
Apr 3 12 00 20
W ed 17 :00: 02
M 12 00
W ed ay :00 2002
M ay 1 12 :00 20
15 :00:0 02
12 0 20
:00: 02
00
20
02
システム構成(1/2)
I-mode
EZweb
Alert List
Level： 1
Port:135
….
Modem
Emergency line
Statistics
Calculation
Attacker Node
Encrypted data
Encrypted data
mn128,may,13,05:40:11,111/tcp
mn128,may,13,10:12:55,111/tcp
mn128,may,13,10:13:04,111/tcp
mn128,may,13,12:35:05,111/tcp
mn128,may,13,12:35:05,111/tcp,
mn128,may,13,20:25:27,111/tcp,
mn128,may,13,20:25:27,111/tcp,
mn128,may,13,20:25:30,111/tcp,
Attacker Node
MySQL
0.9
0.8
1
Port 3128
0.7
0.6
0.5
0.4
0.3
0.2
0.1
0
1.2
攻撃確信度推移(port:21)
1
0.8
0.6
0.4
0.2
0
400
350
300
250
200
150
100
50
0
攻撃確信度
頻度系列
システム構成(2/2)
• センサーボックスシステム
– インターネット上に存在し到着したパケットを記録した後、集積
サーバへその記録を暗号化した後に転送する
• 集積システム
– センサーボックスから送られてくる記録を受け取り復号化した
後MySQLへ格納する
• 計算システム
– MySQLから必要なデータを取り出し危険度を計算する
• 表示作成システム
– 計算サーバから結果を受け取り、グラフや見やすい表に加工
し、メールで通知したりWebサイトへ掲載する
0
石黒氏作成のSCSI2004発表スライドより
T ue M ay 20 12:00:00 2003
W ed M ay 14 12:00:00 2003
T hu M ay 8 12:00:00 2003
FriM ay 2 12:00:00 2003
推定時刻
S un Jun 1 12:00:00 2003
M on M ay 26 12:00:00 2003
30
S at A pr 26 12:00:00 2003
S un A pr 20 12:00:00 2003
M on A pr 14 12:00:00 2003
T ue A pr 8 12:00:00 2003
W ed A pr 2 12:00:00 2003
T hu M ar 27 12:00:00 2003
FriM ar 21 12:00:00 2003
S at M ar 15 12:00:00 2003
S un M ar 9 12:00:00 2003
M on M ar 3 12:00:00 2003
T ue Feb 25 12:00:00 2003
W ed Feb 19 12:00:00 2003
T hu Feb 13 12:00:00 2003
FriFeb 7 12:00:00 2003
S at Feb 1 12:00:00 2003
S un Jan 26 12:00:00 2003
M on Jan 20 12:00:00 2003
T ue Jan 14 12:00:00 2003
W ed Jan 8 12:00:00 2003
T hu Jan 2 12:00:00 2003
ベイズ推定による攻撃検知手法
事前確率尤度関数
60
頻度
50
確信度更新区間（T ）
10
局所標準偏差（σr）
事後確率
証拠
40
トレンドから
の差（r）
20
トレンド
ｒ：ポートスキャン頻度の
トレンドからの差（観測）
ゆうど
尤度関数
石黒氏によるROC曲線評価実験結果より
評価実験
• 期間 2003/1/1 ~ 2003/12/1
グラフID
ベイズ更
新偏差係
T 301B 5k0.5
T 100B 5k0.5
T 100B 3k0.5
0.5
0.5
0.5
ベイズ更
新区間
ト
レンド区
間
5
5
3
301
100
100
A z値
0.95
0.79
0.8
• ポート25 (smtp) ※変化がダイナミックだっ
たため対象にしてみた
• サイト数 1 ※先行してセンサー単独で動
かしていた
• ベイズ推定の結果に対し正しい（真陽
性率）と誤り（偽陽性率）のROC (receiver
operating characteristic)曲線を作成
• 同じデータで「ベイズ更新区間」「トレン
ド区間」のパラメータを変化をさせてみた
• y=xよりもROC曲線は上方であるので、
有効に危険状態を判別できている
真
陽
• トレンド区間が大きいほうが精度が出る性
率
• 同じトレンド区間なら更新区間が小さい
ほうが精度が出る
• 良いパラメータの選び方は職人芸の世
界だった！？
偽陽性率
ケーススタディ(1/2)：Doomjuice
まったく新しい攻撃が発生した場合
Graph of Bayesian Estimation Curve
0.9
0.8
0.7
Level 2
0.6
0.5
Level 3
0.4
appeared
0.3
0.2
0.1
Time Zone is JST
12
20
04
Fe
b
Th
u
11
Fe
b
W
ed
Fe
b
10
20
04
20
04
20
04
9
Tu
e
Fe
b
on
M
Fe
b
Su
n
eb
Sa
tF
8
7
20
04
20
04
20
04
6
Fr
iF
eb
5
Fe
b
Th
u
Fe
b
4
20
04
20
04
20
04
W
ed
Fe
b
Tu
e
Fe
b
2
3
20
04
20
04
0
on
•
Port 3128
Level 1
1
•
Port 1080
1
M
•
Port 3127
Fe
b
•
2004/2/7 （昼ごろ）レベル
3に見たことのないポー
トへのアクセス増加を認
知
2004/2/7 (午後4時) IWR
研究者間メーリングリス
トへMydoomバックドア
狙いのポートスキャンが
増えていることを報告
2004/2/9(日本時間)ウィル
スベンダによるアナウン
ス
2004/2/10 (日本時間)メディ
アによるアナウンス
2004/2/11 @policeによ
る注意喚起掲示
Su
n
•
Detected activity of “Doomjuice”
ケーススタディ(2/2)：SSL BOMB
たぶん来るだろうと待ち構えていた場合
40
パ
ケ
ッ
ト
カ
ウ
ン
ト
数
1.0
Level 3 warning
35
Count
30
Bayes
25
0.75
Netcraft
20
0.5
MS04-011
15
10
0.25
• SSL BOMB --- MS-IISへのDoSアタック
– 2004/4/13 MS04-011でTCP/SSLの脆弱性を公表
– 2004/4/19 Netcraftがexploitコードが公表されていると警告
– 2004/4/24 IWRでlevel 3にリストアップされる
• 予想通りの攻撃をセンサーが捕らえた
5/7
5/6
5/5
5/4
5/3
5/2
5/1
4/30
4/29
4/28
4/27
4/26
4/25
4/24
4/23
4/22
4/21
4/20
4/19
4/18
4/17
4/16
4/15
4/14
4/13
4/12
4/11
4/10
4/9
0
4/8
5
0
ベ
イ
ズ
値
状況通知(1/2)
詳しくはhttp://www.clscan.orgにアクセス
• Web Brower from PC/PDA
– www.clscan.org
• I-mode (NTT DoCoMo)
– www.clscan.org/iwr/i.html
• Ezweb (KDDI)
– www.clscan.org/iwr/ez.hdml
携帯電話の
画面イメージ
2004/2/19 19:31
IWR:
L P
B
C
1 80
0.88 117
1 135
0.84 287
2 901
0.69 9
2 443
0.50 2
3 1080 0.50 128
3 3128 0.49 130
3 12345 0.45 4
3 3127 0.42 209
• ほとんど場合、携帯電話からのチェックで十分
• レベル1発生時に携帯へメール通知する機能は“ウザイ”ので中止
状況通知(2/2)
GNOME2.6ベース
なので注意！
• Facial indicator
– GNOME アプレットを開発
• デスクトップ上から常時モニタ
●
– Webサイト上のアイコン
• パソコン上から
• 携帯電話から Smiley
画像ベース
文字ベース
Uneasy
Distress
Panic
研究プラットフォームとして
• データベースに格納されている大量のログから
色々な分析をしてみる
– ネットワーク上でのウイルス感染パターンの視覚化
時間があれば
デモするよ！
– www.sco.comへのDoSアタックの痕跡をみつけること
もできた
@police
の
元ネタ
オンゴーイングな研究及び開発
•
•
•
•
•
•
•
大学を
中心にした
取組み
新しいデータマイニング手法
分散推論エンジン
専用ハードウェアを必要としないセンサーボックス
計測網の拡大と安定運用に向けての地道な取り組み
分析方法の高度化と表現法方法の高度化
IDMEFサポートとデータ交換
新しいアプローチによる新型センサ、データ収集、分析
法
• 突発的な異変を感知するSPIKE FINDER
• ディスクトップ・フェイス・インディケータ
色の違いは実施グループの違い
まとめ
• インターネット早期広域攻撃警戒システムWCLSCANの
開発と運用を行っている
• 精度の良いベイズ推定による危険度を計算し、その結
果を一般に公開しており、その情報はパソコンからだけ
ではなく携帯電話からも確認できる
• 評価実験により有効であることが確認され、ケーススタ
ディ紹介のように現実に役に立っており、また得られた
知見も外部へ提供している
• 現システムの拡大・拡張だけではなく、先端的研究プ
ラットフォームとしても位置づけられ、さらに進んだ研究
開発に着手
• さらに安定し充実したシステムにするために奮闘中！！

Download Report