Post on 09-Jan-2016
description
仮想センサによる仮想センサによる広域ネットワーク脅威検出法広域ネットワーク脅威検出法
早稲田大学大学院 期間理工学研究科情報理工学専攻 後藤研究室 M1
下田 晃弘
1
2008 年 02 月 08 日 修士論文審査会
Agenda
• 研究背景• 提案方式
– Virtual Dark IP– 広域観測と局所観測
• 実験結果– 広域観測の実験– 局所観測の実験
• まとめ• 今後の研究計画
2
研究背景 (1) インターネットワーム・DDoS 事件
• 2003 年 SQL Slammer– 最初の 10 分間で、対策不備なサーバの 90% に感染。
• 2004 年 6 月 15 日 Akamai 事件– 大規模 DDoS 攻撃により、 Google, Yahoo 等のサイ
トが 2 時間にわたりアクセス不能。
• 近年では・・・– ping スキャン、 SSH スキャニング– 設定不備のサーバを狙った syn flood 攻撃
3
広域のネットワークで発生する攻撃を検出するため、定点観測システムが世界各地で運用されている。
4
sensor
Web サイトへの掲載
Statistics Data
Database&
Analysis Server
ログ警告情報の発信
Y 軸
X 軸
フェーズ 5
部署 6
部署 5
部署 4
部署 3
部署 2
部署 1
フェーズ 4フェーズ 3フェーズ 2フェーズ 1
人員配置チャート
Distributed Sensors
The Internet
Firewall
攻撃パケット
研究背景 (2) 定点観測システム
システムの構築例・ JPCERT/CC ISDAS ( 日本 )・警視庁 定点観測システム ( 日本 )・ Internet Storm Center ( 米国 )
提案方式
• 定点観測システムは敷設コストが高い。– センサの台数を増やさなければ、観測精度が向上しない。– センサのための IPアドレス&サブネット確保が必要
• 提案方式– 仮想センサによる脅威検出システム
• センサ設置の必要はなく、追加コストは一切無し。
5
物理センサによる脅威検出
6
従来の検出手法
・・・
・・・
末端 IP アドレス群で観測
攻撃元( ボット、ワーム等 )
インターネット
物理センサ( 数十台程度 )
センサでは補足できない攻撃
仮想センサによる脅威検出
7
仮想センサ方式
・・・
・・・
Virtual Dark IP 群
攻撃元( ボット、ワーム等 )
インターネット
仮想センサ( 数万台程度 )
中継ルータで観測
脅威検出における本研究の位置づけ
8
・発信元の特定・攻撃の防御、抑制・警告の発信
ログ解析・攻撃検知
・シグネチャ型検知 ( パターンファイル )・アノマリ型検知 ( 閾値、ベイズ解析 etc)データ収集
・パケットキャプチャ装置 ( センサ )・ファイアウォールのログ・フロー 情報の収集 (Netflow, sFlow)
攻撃への対処
本論文の研究対象
9
提案方式
仮想センサによる脅威検出の概要
10
早稲田大学 学内 LANAPAN ネットワーク
広域観測 局所観測
攻撃元 ( ボット、ワーム等 )
仮想センサ
Virtual Dark IP 検出
APAN: アジア太平洋先端ネットワーク
11
Dark IP とは?
Sensor Box Sensor Box (Dark IP)
Firewall
OUT → IN のパケットは許可
IN → OUT のパケットは遮断
PC
Anomaly packets
No responseAttacker
logging
・ 外部に対して一切のパケット送信しない、受信専用の IP アドレス
Virtual Dark IP の検出
12
通常のサーバ通常のサーバ
サービスを提供しなサービスを提供しないい IPIP アドレスアドレス
使われていない使われていない IPIP アドレアドレスス
通常の通信ホスト通常の通信ホスト双方向通信双方向通信
仮想センサ仮想センサ(Virtual Dark IP)(Virtual Dark IP)
攻撃パケット送信元攻撃パケット送信元一方向通信一方向通信
Dark IP で観測可能な不正パケット
13
脅威検出システムの実装
14
libpcap libpcap librarylibrary
flow-tools flow-tools librarylibrary
VPVP候補候補 IPIP アドレスアドレス検出検出
VPVP IPIP アドレス検出アドレス検出
仮想センサ検出モジュール
VPVP データベース データベース
異常値のフィルタリン異常値のフィルタリンググ
不正パケット抽出モジュール
不正パケットログの記不正パケットログの記録録
SRCSRC IP IP キャッシュキャッシュ
VPVP 候補候補データベース データベース
VP : Virtual Dark IP Address
不正パケットロ不正パケットロググ
データベースデータベース
入力モジュール
for 局所観測 (Packet Capturing)
for 広域観測 (Netflow Capturing)
リアルタイム or オフライン入力
検出結果
実験 (1) 広域観測
18
19
広域観測の測定環境
An malicious host中継ルータ
( フロー観測対象フロー観測対象 )
APAN-JP Wide Area Network
A worm infected host
Anomaly packets
Scanning packets
Autonomous System トラフィック収集方法 : Netflow
測定期間 : 2006/06/01 - 2006/10/25
サンプリング間隔 : 1/100
仮想センサ
20
仮想センサ検出アルゴリズム
仮想センサ仮想センサ候補候補
仮想センサ仮想センサ送信者リスト送信者リスト
未検出 or 未観測
広域観測用
21
仮想センサ検出個数
0
10000
20000
30000
40000
50000
60000
2006
/6/1
2006
/6/8
2006
/6/1
5
2006
/6/2
2
2006
/6/2
9
2006
/7/6
2006
/7/1
3
2006
/7/2
0
2006
/7/2
7
2006
/8/3
2006
/8/1
0
2006
/8/1
7
2006
/8/2
4
2006
/8/3
1
2006
/9/7
2006
/9/1
4
The
num
ber o
f Vir
tual
Sen
sors
22
Comparison – Port 445/tcp
WCLSCAN: 定点観測システム ( 日本 )ISC: Internet Storm Center
23
パケット数の比較 – Port 135/tcp
24
Comparison – Port 139/tcp
実験 (2) 局所観測
27
局所観測の実験環境
28
インターネット
Gateway
パケット収集装置
攻撃元学内バックボーン
早稲田大学ネットワーク
トラフィック収集方法 : パケットキャプチャ
測定期間 : 2008/01/26 - 2008/02/01
フィルタ条件 : syn フラグ無しの TCP パケット
を除く 仮想センサ群
仮想センサ検出アルゴリズム
29
Virtual Dark IP候補 Virtual Dark IP
通信中IPアドレス
観測対象の組織に属する全IP アドレスを登録
timer (t1) 経過
通信を検出timer (t2) 経過 通信を検出
早稲田大学のサブネット 133.9.0.0/16 -> 初期状態として 65534個の IP アドレス を登録
局所観測用
ゲートウェイ観測 Virtual Dark IP の数
30
VP
ho
st n
um
ゲートウェイ観測 通信中ホストの数
31
土 日 月 火 水
昼 夜 昼 夜 昼 夜 昼 夜 昼
ゲートウェイ観測 22/tcp
32
ゲートウェイ観測 445/tcp
33
ゲートウェイ観測 1026/udp
34
36
まとめ
• 仮想センサ検出方式–新規センサ設置の必要がなく、物理リソース削減。–膨大な仮想センサにより観測精度向上。– 広域観測
• 定点観測システムのデータとの類似点を確認。• 本当に攻撃パケットなのかという、誤検出に関する検証が必要。
– 局所観測• センサ個数の増減と、未使用 IP アドレスに対するパ
ケットの検出に成功。• IDS ( シグネチャ式 ) との併用と比較により、攻撃が正しく検出できているかという検証が必要。
今後の研究計画
37
Virtual Dark IP の体系化
• Dark IP を脅威検出に利用する試み– 国際会議 First, 米国 REN-ISAC が共同研究中 – The IUCC/IDC Internet Telescope – Dark IP と同義 :
• Unused IP address, Darknet, Dark IP space,
• トラフィック情報から Dark IP を検出するアイデアを述べた論文は、これまで存在しない。– 早急にアルゴリズムの確立と検証を行う必要がある。
38
投稿論文
■ Akihiro Shimoda and Shigeki Goto
Virtual Dark IP for Internet Threat Detection,
APAN Network Research Workshop 2007,
pp.17—23, Autgust 2007.
■ 下田 晃弘、 後藤滋樹 広域ネットワークにおけるフロー解析に基づく脅威検
出法 FIT2007 第6回情報科学技術フォーラム 査読付論文 LL-001 2007 年 9 月
39
研究計画 (目標 )
2008 年・ 3 月 ゲートウェイ観測の実装と検証
→検証結果を FIT2008 に投稿予定・ 4 月 仮想センサのアルゴリズム改良と検証・ 6 月 広域・局所観測の統合システムの
開発と運用 ・ 8 月 ジャーナル論文への投稿
40
広域・局所観測を連携させた、高次元ネットワーク・センシング手法の確立
41
早稲田大学 学内 LAN
SINET
APAN ネットワーク
広域観測
局所観測
仮想センサ群
攻撃元 ( ボット、ワーム等 )
攻撃元の特定
攻撃検出
42
ご清聴ありがとうございました。
補足資料
43
44
Comparison – Port 22/tcp
45
Comparison – Port 80/tcp
46
Parameter – Limit Timer
広域観測と局所観測
50
稼働中のホスト群
停止中、 IP アドレス未割当のホスト群( 検出対象 )
インターネット 組織内ネットワーク
Gateway ルータ
不正パケット
パケット収集装置
攻撃元ホスト
不正パケット送信
研究の進め方
• 現時点における仮想センサの課題– 仮想センサを誤検出した場合、通常の通信
を攻撃を誤判定してしまう場合がある。– 大雑把な攻撃の有無のみ判別可能。
• 脅威検出の研究における大きな壁– 検出結果の比較対象が存在しない。
• ワーム・ウイルスの攻撃はほぼランダム。• 他の研究機関との情報交換が欠かせない。
52