多次元的モニタリングよるフローベースの...

多次元的モニタリングよるフローベースのインターネット脅威検出システム

2012 年 12 月 26 NEC- 早稲田大学技術交流会

早稲田大学基幹理工学部情報理工学科助手

下田晃弘

1Goto Laboratory, Waseda University

目次• 研究背景• 既存研究• 提案システム• システムの評価• まとめ


インターネットの介した攻撃の早期発見と抑止への取り組み

Goto Laboratory, Waseda University3

インターネットのボットネット、マルウェアによる脅威を・　バックボーン・ネットワーク側 ( マクロ )・　エッジ・ネットワーク側 ( ミクロ )の双方の視点から分析

バックボーン側 ( マクロ ) の観測・定点観測システム (JPCERT: ISDAS, NICT: NICTER)・ユーザのサブミッションログ

従来の方法

エッジ側 ( ミクロ ) の観測・侵入検知ソフトウェア、ファイアウォール・ハニーポットエッジ側

バックボーン側

本研究では攻撃を少ないリソースで効率的に収集・検出する方法を提案することで、ネットワーク管理者の脅威検出をサポート

Darknet による不正なパケットの検出• 受信専用のサーバにグローバル IP アドレスを割り当て

– スキャンニングや DDoS の発生 (Backscatter) を効率的に検出– 観測するアドレス空間を範囲を広げるには多くのサーバ資源が

必要– ネットワークのエッジ側でしか観測できない

4Sensor Box

(DarkNet implementation)

Firewall

Accept all incomming packets

Block all outgoing packets

PC

Anomaly packets

No responseAttacker

logging

Goto Laboratory, Waseda University

仮想センサによる広域ネットワーク脅威検出

• バックボーン上でマクロな定点観測を実現– 測定点はバックボーンのルータ / スイッチ ( エッジではない )– 受信のみの IP アドレスを推定、センサとして活用

5

・・・

・・・

攻撃元( ボット、ワーム等 )

インターネット

仮想センサ( 数万台規模 )

逆向きフローの存在しない一方通行のフローを検出し、その宛先 IP アドレスを仮想センサとみなす

従来の定点観測と比較１．測定に関わるサーバ資源を　大幅に削減２．バックボーン、 ISP に適用可３．広範囲のネットーワーク空間を　　　測定対象としてカバー

Akihiro Shimoda, Shigeki Goto, Flow based anomaly traffic detection, The 13th JSPS/NRF Core University Program Seminar, Aug, 2009.

Akihiro Shimoda and Shigeki Goto, Virtual Dark IP for Internet Threat Detection, the 25 th APAN Meeting, pp.17-23, August, 2007.

[1]

[2]

広域ハニーポット展開システム DarkPots

• 企業・キャンパスネットワークが保有する未使用 IP アドレス上に、センサ、ハニーポットを展開

6

ゲートウェイ企業 / キャンパス

ネットワークインターネット

Vacancy checkerForwarder

ハニーポット or センサ群疑似応答

パケット

list of unused-IPs

mirroring

１． Vacancy checker で未使用 IP アドレスを検出 (Firewall の情報も利用 )２． Forwarder は未使用 IP アドレス　　宛のパケットをセンサ群に転送３．ハニーポット / センサは未使用 IP アドレス　　の代わりにパケットを受信、転送

システムの動作

特徴・管理サブネット内部の余剰 IP アドレス　を脅威観測のために活用・ファイアウォールと連携する場合、　未使用 IP アドレスの誤検知は　一切発生しない。

Akihiro Shimoda, Tatsuya Mori, and Shigeki Goto, Sensor in the Dark: Building Untraceable Large-scale Honeypots using Virtualization Technologies, 2010 10th IEEE/IPSJ International Symposium on Applications and the Internet, pp.22-30, July, 2010.

( 博士論文 ) Akihiro Shimoda, “, “Internet Threat Detection Method based on Virtual Sensors“, 2011 年 3 月 .

[3]

[4]


Darknet / Darkpots 観測の問題点• IPv4 アドレス枯渇に伴い未使用 IP アドレスが減

少• IPv6 等の大きいアドレス空間に適用する場合は

システムの負荷が増大– 未使用 IP アドレスのリストをシステム内部で保持しなければな

らないため

• 利用中の IP アドレスに対してはセンサ、ハニーポットを展開できない


8

提案手法


・・・

・・・

worms or botnet

the Internet

sensor(s)

honeypot(s)

gateway

IP address space

active host w/o firewall 　active host w/ firewallinactive host or unassigned (darknet)

Analyzers

scanpackets

従来の方式 (IP アドレスベース )

9

攻撃観測は未使用の IP アドレス上でのみ


・・・

・・・

worms or botnet

the Internet

sensor(s)

honeypot(s)

gateway

IP address space

active host w/o firewall 　active host w/ firewallinactive host or unassigned (darknet)

Analyzers

scanpackets

提案手法 ( フローベース )

10

フロー単位で正常 / 不正な通信を識別→ 従来は不可能だった Active な IPアドレス上でも不正パケットの検出を実現

下田晃弘 , 森達哉 , 後藤滋樹 , “DarkFlow 検出によるリアルタイム・インターネット脅威検出システム” , 電子情報通信学会ネットワーク仮想化研究会 (NV), NV2011-4, pp. 33—40, July, 2011.

[5]

botnet/worm forwardersyn

syn (re-trans.)

syn/ack (honeypot only)

forwarddelay: T sec

sensorlog thesyn packet

sensor/ honeypot

syn

honeypotsend a response packet

ack

フローベースの攻撃検出手法• syn に対して syn/ack が一定時間返らないフローを不正

なフローと見なしてセンサーに転送– 待ち時間については後述の実験で評価済み


tcp/445

tcp/443

tcp/139

tcp/135

tcp/80

tcp/22

Host Power

ON(A)

OFF(B)

ON(C)

ON(D)

OFF(E)

ON(F)

ON(G)

usable tcp port for threat monitoring

unusable tcp port for threat monitoring

IP アドレス網羅率を向上する多次元的モニタリング

12

rst or syn/ack を応答しない TCP ポート宛のパケットを不正なパケットとして検出 → 攻撃カバー率が大幅に向上

ホストの状態ON/ active,OFF /inactive

ホスト名

従来の darknet で検出可能な範囲

提案システムのアーキテクチャ紹介


data plane

control plane

Forwarding Table

Monitoring network

Response Locator

delete

Forward the new TCPpacket to delay queue

提案システムの構成(コンポーネント )

Delay queue

The Internet

Entry the TCP flow tothe monitoring slice

Ingress port Egress port

応答フロー検出時に遅延キューから該当する syn パケットを削除

syn パケットを遅延させるためのキュー

センサ / ハニーポットを動作させるネット

ワークセンサに転送するフロー情報を保持

Goto Laboratory, Waseda University14

ProgrammableSwitch

Legitimate hosts

Excluding hosts

Grey flows

Malicious flows

to local area network

Analyzers.Dark IPs/net

drop if connection established

Switch

Monitoring class

Non-monitoring class

mirror delay queue

Internet

提案システムの構成(Flow Class Allocation)

15

管理者側で除外したいホストや明示的に正常と見なすホストを登録

明示的に使われていないアドレス空間を登録し、 Darknet と併用した観測を実現


Sensor A

Sensor B

Honeypot A

Honeypot B

Policy basedClassification

Forwarding Table Switch

Forwarder

VLANTrunk

Policy Policy exampledest x.x.x.x/y => Sensor Adaddr:X and dport:445 => Honeypot Adport:139 => Honeypot B

16

提案システムの構成(Policy-based Forwarding)


17

提案システムのソフトウェア実装


ポート・ミラーリングを利用

( フロースイッチの代替 )

input process

NIC

Analyzers

NIC

Delay Queue

Active HostMonitoring

delete packet

forwarding

(c)

(a) (b)(d)

mirroring

gateway

Forwarder

forwardingtable

Local AreaNetwork

Internet

NIC

IPTables

outputprocess

deleteflow

Forwarder Implementation

18

Linux serverデータプレーン、コントロールプレーンをすべて Linux の netfilter 上

に実装

assign VLAN tag


iptables honeypot processNIC

○○○○

○○○

inputprocess

virtual interfaces

create

iptables loggingprocess

NIC

sensor

honeypot

Honeypot / Sensor Wrapper Implementation

19

1) syn パケットの宛先 IP アドレスを持つ仮想インターフェイスを生成2) ハニーポット・プロセスにフォワード→ 　 Unix socket を利用するハニーポットはソフトウェアの変更なしに　　送信元を偽装してセッションを確立できる


20

実験


実験環境• 大学ゲートウェイに提案システムを設置

– トラフィックは昼夜平均 300Mbps • ピーク時は 1Gbps超

– 2011 年 7 月の数週間にわたり観測– 大学のすべてのサブネットを観測対象

• クラス B (/16, total 65,536 IP addresses)

• 評価の観点– フローベースの不正パケット検出方式の精度– Active な IP アドレスのカバー率– システムの性能評価


大学ネットワークにおけるTCP syn/ack パケットの遅延割合

22

ゲートウェイのトラフィックをモニターして、 syn を検出後に syn/ack を観測するまでの時間を計測

99.997% のフローは syn/ack パケットが 5sec 未満で到達

syn/ack が遅れたケースでは、セッションが成立しているか？


syn/ack 遅延セッションにおけるコネクション成立数

23

5sec ではセッション確立フローは無しただし一部の例外ホスト (Planetlab ノード ) を

除く


2 3 4 5 6 7 8 9 100

5000

10000

15000

20000

25000

0.0000%

0.0010%

0.0020%

0.0030%

0.0040%

0.0050%

0.0060%

0.0070%delay queue sizedelayed syn/ack ra-tio

forward delay [sec]

# of

syn

pac

kets

dela

yed

syn/

ack

rati

o

no establishedsession is located

syn/ack 遅延率と syn パケット保持数のトレードオフ評価

24

遅延キューのタイムアウト (forward delay: T sec) が長すぎと… ・キューに貯まる syn パケットが増え、メモリを消費・ハニーポットの場合、 TCP タイムアウトによりセッションが確立しない恐れ

→ 以上を総合的に判断して遅延キューのタイムアウト (T) を 5 sec に設定

better


1 4 7 10 13 16 19 22 25 28 31 34 37 40 43 460

10000

20000

30000

40000

50000

60000

70000

80000unused (IP-address-based)

our method (flow-based)

hours

# of

IP a

ddre

ss

multi-dimensional conventional darknet

ネットワーク脅威検出に利用可能な IP アドレスの個数

25

パケットを発信していない、 inactive と推定される IP アドレスをカウント

(Darknet 方式 / Virtual Dark IP address 方式 )

syn/ack を応答しないポートが少なくとも 1つ以上存在する IP アドレスをカウ

ント

→ Active なホストが多く存在するネットワークにおいて、　　　　　　　　　　モニタリング対象の IP アドレスを大幅に拡張することに成功


0 2700 5400 8100 10800 13500 16200 18900 21600 24300 27000 297000

20000

40000

60000

80000

100000

120000

140000

0

1

2

3

4

5

6

7syn table [#]

flow table [#]

memoy usage [MB]

second

flow

s or

pac

kets

[#]

mem

ory

usag

e [M

byte

s]

メモリ使用率の評価

26

delay queue 大学の IPv4 アドレス空間 (/16) 全体を監視する場合でも高々 7MByteのメモリ消費

メモリ消費量は、その時点におけるコネクション数に依存

IPv6 等の広いアドレス空間をわずかなサーバ資源で観測可能


まとめ• フローベースの不正パケット攻撃検出システムを提案

– Active な IP アドレスに対する攻撃を観測できるため、 IP アドレス利用率の高い企業・大学のネットワークでも幅広くセンサ、ハニーポットを展開

– IP アドレスリストを保持する必要がなく、 IPv6 等の広いアドレス空間も少ないリソースで観測できる

• プログラマブル・フロースイッチと連携したポリシーにより、観測網の展開をより柔軟に– 従来の Darknet と併用することで、互いの長所を活かした観測を

実現– Flow Class の定義により、観測対象のスコープに含める、または除外するネットワークを指定できる


多次元的モニタリングよるフローベースの...

Documents

Transcript of 多次元的モニタリングよるフローベースの...