仮想センサによる 広域ネットワーク脅威検出法

42
仮仮仮仮仮仮仮仮 仮仮仮仮仮仮仮仮 仮仮仮仮仮仮仮仮仮仮仮仮仮 仮仮仮仮仮仮仮仮仮仮仮仮仮 早早早早早早早早 早早早早早早早早 早早早早早早早 早早早早早 M1 早早 早早 1 2008 早 02 早 08 早 早早早早早早早

description

2008 年 02 月 08 日   修士論文審査会. 仮想センサによる 広域ネットワーク脅威検出法. 早稲田大学大学院  期間理工学研究科 情報理工学専攻   後藤研究室 M1 下田 晃弘. Agenda. 研究背景 提案方式 Virtual Dark IP 広域観測と局所観測 実験結果 広域観測の実験 局所観測の実験 まとめ 今後の研究計画. 研究背景 (1) インターネットワーム・ DDoS 事件. 2003 年 SQL Slammer 最初の 10 分間で、対策不備なサーバの 90% に感染。 - PowerPoint PPT Presentation

Transcript of 仮想センサによる 広域ネットワーク脅威検出法

Page 1: 仮想センサによる 広域ネットワーク脅威検出法

仮想センサによる仮想センサによる広域ネットワーク脅威検出法広域ネットワーク脅威検出法

早稲田大学大学院  期間理工学研究科情報理工学専攻   後藤研究室 M1

下田 晃弘

1

2008 年 02 月 08 日   修士論文審査会

Page 2: 仮想センサによる 広域ネットワーク脅威検出法

Agenda

• 研究背景• 提案方式

– Virtual Dark IP– 広域観測と局所観測

• 実験結果– 広域観測の実験– 局所観測の実験

• まとめ• 今後の研究計画

2

Page 3: 仮想センサによる 広域ネットワーク脅威検出法

研究背景 (1) インターネットワーム・DDoS 事件

• 2003 年 SQL Slammer– 最初の 10 分間で、対策不備なサーバの 90% に感染。

• 2004 年 6 月 15 日 Akamai 事件– 大規模 DDoS 攻撃により、 Google, Yahoo 等のサイ

トが 2 時間にわたりアクセス不能。

• 近年では・・・– ping スキャン、 SSH スキャニング– 設定不備のサーバを狙った syn flood 攻撃

3

広域のネットワークで発生する攻撃を検出するため、定点観測システムが世界各地で運用されている。

Page 4: 仮想センサによる 広域ネットワーク脅威検出法

4

sensor

Web サイトへの掲載

Statistics Data

Database&

Analysis Server

ログ警告情報の発信

Y 軸

X 軸

フェーズ 5

部署 6

部署 5

部署 4

部署 3

部署 2

部署 1

フェーズ 4フェーズ 3フェーズ 2フェーズ 1

人員配置チャート

Distributed Sensors

The Internet

Firewall

攻撃パケット

研究背景 (2)  定点観測システム

システムの構築例・ JPCERT/CC ISDAS ( 日本 )・警視庁 定点観測システム ( 日本 )・ Internet Storm Center ( 米国 )

Page 5: 仮想センサによる 広域ネットワーク脅威検出法

提案方式

• 定点観測システムは敷設コストが高い。– センサの台数を増やさなければ、観測精度が向上しない。– センサのための IPアドレス&サブネット確保が必要

• 提案方式– 仮想センサによる脅威検出システム

• センサ設置の必要はなく、追加コストは一切無し。

5

Page 6: 仮想センサによる 広域ネットワーク脅威検出法

物理センサによる脅威検出

6

従来の検出手法

・・・

・・・

末端 IP アドレス群で観測

攻撃元( ボット、ワーム等 )

インターネット

物理センサ( 数十台程度 )

センサでは補足できない攻撃

Page 7: 仮想センサによる 広域ネットワーク脅威検出法

仮想センサによる脅威検出

7

仮想センサ方式

・・・

・・・

Virtual Dark IP 群

攻撃元( ボット、ワーム等 )

インターネット

仮想センサ( 数万台程度 )

中継ルータで観測

Page 8: 仮想センサによる 広域ネットワーク脅威検出法

脅威検出における本研究の位置づけ

8

・発信元の特定・攻撃の防御、抑制・警告の発信

ログ解析・攻撃検知

・シグネチャ型検知 ( パターンファイル )・アノマリ型検知 ( 閾値、ベイズ解析 etc)データ収集

・パケットキャプチャ装置 ( センサ )・ファイアウォールのログ・フロー 情報の収集 (Netflow, sFlow)

攻撃への対処

本論文の研究対象

Page 9: 仮想センサによる 広域ネットワーク脅威検出法

9

提案方式

Page 10: 仮想センサによる 広域ネットワーク脅威検出法

仮想センサによる脅威検出の概要

10

早稲田大学 学内 LANAPAN ネットワーク

広域観測 局所観測

攻撃元 ( ボット、ワーム等 )

仮想センサ

Virtual Dark IP 検出

APAN: アジア太平洋先端ネットワーク

Page 11: 仮想センサによる 広域ネットワーク脅威検出法

11

Dark IP とは?

Sensor Box Sensor Box (Dark IP)

Firewall

OUT → IN のパケットは許可

IN → OUT のパケットは遮断

PC

Anomaly packets

No responseAttacker

logging

・ 外部に対して一切のパケット送信しない、受信専用の IP アドレス

Page 12: 仮想センサによる 広域ネットワーク脅威検出法

Virtual Dark IP の検出

12

通常のサーバ通常のサーバ

サービスを提供しなサービスを提供しないい IPIP アドレスアドレス

使われていない使われていない IPIP アドレアドレスス

通常の通信ホスト通常の通信ホスト双方向通信双方向通信

仮想センサ仮想センサ(Virtual Dark IP)(Virtual Dark IP)

攻撃パケット送信元攻撃パケット送信元一方向通信一方向通信

Page 13: 仮想センサによる 広域ネットワーク脅威検出法

Dark IP で観測可能な不正パケット

13

Page 14: 仮想センサによる 広域ネットワーク脅威検出法

脅威検出システムの実装

14

libpcap libpcap librarylibrary

flow-tools flow-tools librarylibrary

VPVP候補候補 IPIP アドレスアドレス検出検出

VPVP IPIP アドレス検出アドレス検出

仮想センサ検出モジュール

VPVP   データベース データベース

異常値のフィルタリン異常値のフィルタリンググ

不正パケット抽出モジュール

不正パケットログの記不正パケットログの記録録

SRCSRC IP IP キャッシュキャッシュ

VPVP 候補候補データベース データベース

VP : Virtual Dark IP Address

不正パケットロ不正パケットロググ

データベースデータベース

入力モジュール

for 局所観測 (Packet Capturing)

for 広域観測 (Netflow Capturing)

リアルタイム or オフライン入力

検出結果

Page 15: 仮想センサによる 広域ネットワーク脅威検出法

実験 (1) 広域観測

18

Page 16: 仮想センサによる 広域ネットワーク脅威検出法

19

広域観測の測定環境

An malicious host中継ルータ

( フロー観測対象フロー観測対象 )

APAN-JP Wide Area Network

A worm infected host

Anomaly packets

Scanning packets

Autonomous System トラフィック収集方法 : Netflow

測定期間 : 2006/06/01 - 2006/10/25

サンプリング間隔 : 1/100

仮想センサ

Page 17: 仮想センサによる 広域ネットワーク脅威検出法

20

仮想センサ検出アルゴリズム

仮想センサ仮想センサ候補候補

仮想センサ仮想センサ送信者リスト送信者リスト

未検出 or 未観測

広域観測用

Page 18: 仮想センサによる 広域ネットワーク脅威検出法

21

仮想センサ検出個数

0

10000

20000

30000

40000

50000

60000

2006

/6/1

2006

/6/8

2006

/6/1

5

2006

/6/2

2

2006

/6/2

9

2006

/7/6

2006

/7/1

3

2006

/7/2

0

2006

/7/2

7

2006

/8/3

2006

/8/1

0

2006

/8/1

7

2006

/8/2

4

2006

/8/3

1

2006

/9/7

2006

/9/1

4

The

num

ber o

f Vir

tual

Sen

sors

Page 19: 仮想センサによる 広域ネットワーク脅威検出法

22

Comparison – Port 445/tcp

WCLSCAN: 定点観測システム ( 日本 )ISC: Internet Storm Center

Page 20: 仮想センサによる 広域ネットワーク脅威検出法

23

パケット数の比較 – Port 135/tcp

Page 21: 仮想センサによる 広域ネットワーク脅威検出法

24

Comparison – Port 139/tcp

Page 22: 仮想センサによる 広域ネットワーク脅威検出法

実験 (2) 局所観測

27

Page 23: 仮想センサによる 広域ネットワーク脅威検出法

局所観測の実験環境

28

インターネット

Gateway

パケット収集装置

攻撃元学内バックボーン

早稲田大学ネットワーク

トラフィック収集方法 :  パケットキャプチャ

測定期間 : 2008/01/26 - 2008/02/01

フィルタ条件 : syn フラグ無しの TCP パケット

を除く 仮想センサ群

Page 24: 仮想センサによる 広域ネットワーク脅威検出法

仮想センサ検出アルゴリズム

29

Virtual Dark IP候補 Virtual Dark IP

通信中IPアドレス

観測対象の組織に属する全IP アドレスを登録

timer (t1) 経過

通信を検出timer (t2) 経過 通信を検出

早稲田大学のサブネット 133.9.0.0/16 -> 初期状態として 65534個の IP アドレス を登録

局所観測用

Page 25: 仮想センサによる 広域ネットワーク脅威検出法

ゲートウェイ観測 Virtual Dark IP の数

30

VP

ho

st n

um

Page 26: 仮想センサによる 広域ネットワーク脅威検出法

ゲートウェイ観測 通信中ホストの数

31

土 日 月 火 水

昼 夜 昼 夜 昼 夜 昼 夜 昼

Page 27: 仮想センサによる 広域ネットワーク脅威検出法

ゲートウェイ観測 22/tcp

32

Page 28: 仮想センサによる 広域ネットワーク脅威検出法

ゲートウェイ観測 445/tcp

33

Page 29: 仮想センサによる 広域ネットワーク脅威検出法

ゲートウェイ観測 1026/udp

34

Page 30: 仮想センサによる 広域ネットワーク脅威検出法

36

まとめ

• 仮想センサ検出方式–新規センサ設置の必要がなく、物理リソース削減。–膨大な仮想センサにより観測精度向上。– 広域観測

• 定点観測システムのデータとの類似点を確認。• 本当に攻撃パケットなのかという、誤検出に関する検証が必要。

– 局所観測• センサ個数の増減と、未使用 IP アドレスに対するパ

ケットの検出に成功。• IDS ( シグネチャ式 ) との併用と比較により、攻撃が正しく検出できているかという検証が必要。

Page 31: 仮想センサによる 広域ネットワーク脅威検出法

今後の研究計画

37

Page 32: 仮想センサによる 広域ネットワーク脅威検出法

Virtual Dark IP の体系化

• Dark IP を脅威検出に利用する試み– 国際会議 First, 米国 REN-ISAC が共同研究中 – The IUCC/IDC Internet Telescope – Dark IP と同義 :

• Unused IP address, Darknet, Dark IP space,

• トラフィック情報から Dark IP を検出するアイデアを述べた論文は、これまで存在しない。– 早急にアルゴリズムの確立と検証を行う必要がある。

38

Page 33: 仮想センサによる 広域ネットワーク脅威検出法

投稿論文

■ Akihiro Shimoda and Shigeki Goto

Virtual Dark IP for Internet Threat Detection,

APAN Network Research Workshop 2007,

pp.17—23, Autgust 2007.

■ 下田 晃弘、 後藤滋樹 広域ネットワークにおけるフロー解析に基づく脅威検

出法 FIT2007 第6回情報科学技術フォーラム  査読付論文 LL-001 2007 年 9 月

39

Page 34: 仮想センサによる 広域ネットワーク脅威検出法

研究計画 (目標 )

2008 年・ 3 月 ゲートウェイ観測の実装と検証

→検証結果を FIT2008 に投稿予定・ 4 月 仮想センサのアルゴリズム改良と検証・ 6 月 広域・局所観測の統合システムの

      開発と運用  ・ 8 月 ジャーナル論文への投稿

40

Page 35: 仮想センサによる 広域ネットワーク脅威検出法

広域・局所観測を連携させた、高次元ネットワーク・センシング手法の確立

41

早稲田大学 学内 LAN

SINET

APAN ネットワーク

広域観測

局所観測

仮想センサ群

攻撃元 ( ボット、ワーム等 )

攻撃元の特定

攻撃検出

Page 36: 仮想センサによる 広域ネットワーク脅威検出法

42

ご清聴ありがとうございました。

Page 37: 仮想センサによる 広域ネットワーク脅威検出法

補足資料

43

Page 38: 仮想センサによる 広域ネットワーク脅威検出法

44

Comparison – Port 22/tcp

Page 39: 仮想センサによる 広域ネットワーク脅威検出法

45

Comparison – Port 80/tcp

Page 40: 仮想センサによる 広域ネットワーク脅威検出法

46

Parameter – Limit Timer

Page 41: 仮想センサによる 広域ネットワーク脅威検出法

広域観測と局所観測

50

稼働中のホスト群

停止中、 IP アドレス未割当のホスト群( 検出対象 )

インターネット 組織内ネットワーク

Gateway ルータ

不正パケット

パケット収集装置

攻撃元ホスト

不正パケット送信

Page 42: 仮想センサによる 広域ネットワーク脅威検出法

研究の進め方

• 現時点における仮想センサの課題– 仮想センサを誤検出した場合、通常の通信

を攻撃を誤判定してしまう場合がある。– 大雑把な攻撃の有無のみ判別可能。

• 脅威検出の研究における大きな壁– 検出結果の比較対象が存在しない。

• ワーム・ウイルスの攻撃はほぼランダム。• 他の研究機関との情報交換が欠かせない。

52