~身近に忍び寄る脅威~ - ipa.go.jp · 2003年 2004. 年~ 2008年 2009. 年~ 2012年 時代背景. ネットワークウイルスの 全盛: 内部脅威・コンプライアンス
多次元的モニタリングよるフローベースの...
description
Transcript of 多次元的モニタリングよるフローベースの...
多次元的モニタリングよるフローベースのインターネット脅威検出システム
2012 年 12 月 26 NEC- 早稲田大学 技術交流会
早稲田大学基幹理工学部 情報理工学科 助手
下田 晃弘
1Goto Laboratory, Waseda University
目次• 研究背景• 既存研究• 提案システム• システムの評価• まとめ
2Goto Laboratory, Waseda University
インターネットの介した攻撃の早期発見と抑止への取り組み
Goto Laboratory, Waseda University3
インターネットのボットネット、マルウェアによる脅威を・ バックボーン・ネットワーク側 ( マクロ )・ エッジ・ネットワーク側 ( ミクロ )の双方の視点から分析
バックボーン側 ( マクロ ) の観測 ・ 定点観測システム (JPCERT: ISDAS, NICT: NICTER)・ ユーザのサブミッションログ
従来の方法
エッジ側 ( ミクロ ) の観測・ 侵入検知ソフトウェア、ファイアウォール・ ハニーポットエッジ側
バックボーン側
本研究では攻撃を少ないリソースで効率的に収集・検出する方法を提案することで、ネットワーク管理者の脅威検出をサポート
Darknet による不正なパケットの検出• 受信専用のサーバにグローバル IP アドレスを割り当て
– スキャンニングや DDoS の発生 (Backscatter) を効率的に検出– 観測するアドレス空間を範囲を広げるには多くのサーバ資源が
必要– ネットワークのエッジ側でしか観測できない
4Sensor Box
(DarkNet implementation)
Firewall
Accept all incomming packets
Block all outgoing packets
PC
Anomaly packets
No responseAttacker
logging
Goto Laboratory, Waseda University
仮想センサによる広域ネットワーク脅威検出
• バックボーン上でマクロな定点観測を実現– 測定点はバックボーンのルータ / スイッチ ( エッジではない )– 受信のみの IP アドレスを推定、センサとして活用
5
・・・
・・・
攻撃元( ボット、ワーム等 )
インターネット
仮想センサ( 数万台規模 )
逆向きフローの存在しない一方通行のフローを検出し、その宛先 IP アドレスを仮想センサとみなす
従来の定点観測と比較1.測定に関わるサーバ資源を 大幅に削減2.バックボーン、 ISP に適用可3.広範囲のネットーワーク空間を 測定対象としてカバー
Akihiro Shimoda, Shigeki Goto, Flow based anomaly traffic detection, The 13th JSPS/NRF Core University Program Seminar, Aug, 2009.
Akihiro Shimoda and Shigeki Goto, Virtual Dark IP for Internet Threat Detection, the 25 th APAN Meeting, pp.17-23, August, 2007.
[1]
[2]
広域ハニーポット展開システム DarkPots
• 企業・キャンパスネットワークが保有する未使用 IP アドレス上に、センサ、ハニーポットを展開
6
ゲートウェイ企業 / キャンパス
ネットワークインターネット
Vacancy checkerForwarder
ハニーポット or センサ群疑似応答
パケット
list of unused-IPs
mirroring
1. Vacancy checker で未使用 IP アドレスを検出 (Firewall の情報も利用 )2. Forwarder は未使用 IP アドレス 宛のパケットをセンサ群に転送3.ハニーポット / センサは未使用 IP アドレス の代わりにパケットを受信、転送
システムの動作
特徴・ 管理サブネット内部の余剰 IP アドレス を脅威観測のために活用・ ファイアウォールと連携する場合、 未使用 IP アドレスの誤検知は 一切発生しない。
Akihiro Shimoda, Tatsuya Mori, and Shigeki Goto, Sensor in the Dark: Building Untraceable Large-scale Honeypots using Virtualization Technologies, 2010 10th IEEE/IPSJ International Symposium on Applications and the Internet, pp.22-30, July, 2010.
( 博士論文 ) Akihiro Shimoda, “, “Internet Threat Detection Method based on Virtual Sensors“, 2011 年 3 月 .
[3]
[4]
Goto Laboratory, Waseda University
Darknet / Darkpots 観測の問題点• IPv4 アドレス枯渇に伴い未使用 IP アドレスが減
少• IPv6 等の大きいアドレス空間に適用する場合は
システムの負荷が増大– 未使用 IP アドレスのリストをシステム内部で保持しなければな
らないため
• 利用中の IP アドレスに対してはセンサ、ハニーポットを展開できない
7Goto Laboratory, Waseda University
8
提案手法
Goto Laboratory, Waseda University
・・・
・・・
worms or botnet
the Internet
sensor(s)
honeypot(s)
gateway
IP address space
active host w/o firewall active host w/ firewallinactive host or unassigned (darknet)
Analyzers
scanpackets
従来の方式 (IP アドレスベース )
9
攻撃観測は未使用の IP アドレス上でのみ
Goto Laboratory, Waseda University
・・・
・・・
worms or botnet
the Internet
sensor(s)
honeypot(s)
gateway
IP address space
active host w/o firewall active host w/ firewallinactive host or unassigned (darknet)
Analyzers
scanpackets
提案手法 ( フローベース )
10
フロー単位で正常 / 不正な通信を識別→ 従来は不可能だった Active な IPアドレス上でも 不正パケットの検出を実現
下田晃弘 , 森達哉 , 後藤滋樹 , “DarkFlow 検出によるリアルタイム・インターネット脅威検出システム” , 電子情報通信学会 ネットワーク仮想化研究会 (NV), NV2011-4, pp. 33—40, July, 2011.
[5]
botnet/worm forwardersyn
syn (re-trans.)
syn/ack (honeypot only)
forwarddelay: T sec
sensorlog thesyn packet
sensor/ honeypot
syn
honeypotsend a response packet
ack
フローベースの攻撃検出手法• syn に対して syn/ack が一定時間返らないフローを不正
なフローと見なしてセンサーに転送– 待ち時間については後述の実験で評価済み
11Goto Laboratory, Waseda University
tcp/445
tcp/443
tcp/139
tcp/135
tcp/80
tcp/22
Host Power
ON(A)
OFF(B)
ON(C)
ON(D)
OFF(E)
ON(F)
ON(G)
usable tcp port for threat monitoring
unusable tcp port for threat monitoring
IP アドレス網羅率を向上する多次元的モニタリング
12
rst or syn/ack を応答しない TCP ポート宛のパケットを不正なパケットとして検出 → 攻撃カバー率が大幅に向上
ホストの状態ON/ active,OFF /inactive
ホスト名
従来の darknet で検出可能な範囲
提案システムのアーキテクチャ紹介
13Goto Laboratory, Waseda University
data plane
control plane
Forwarding Table
Monitoring network
Response Locator
delete
Forward the new TCPpacket to delay queue
提案システムの構成(コンポーネント )
Delay queue
The Internet
Entry the TCP flow tothe monitoring slice
Ingress port Egress port
応答フロー検出時に 遅延キューから該当する syn パケットを削除
syn パケットを遅延させるためのキュー
センサ / ハニーポットを動作させるネット
ワークセンサに転送するフロー情報を保持
Goto Laboratory, Waseda University14
ProgrammableSwitch
Legitimate hosts
Excluding hosts
Grey flows
Malicious flows
to local area network
Analyzers.Dark IPs/net
drop if connection established
Switch
Monitoring class
Non-monitoring class
mirror delay queue
Internet
提案システムの構成(Flow Class Allocation)
15
管理者側で除外したいホストや明示的に正常と見なすホストを登録
明示的に使われていないアドレス空間を登録し、 Darknet と併用した観測を実現
Goto Laboratory, Waseda University
Sensor A
Sensor B
Honeypot A
Honeypot B
Policy basedClassification
Forwarding Table Switch
Forwarder
VLANTrunk
Policy Policy exampledest x.x.x.x/y => Sensor Adaddr:X and dport:445 => Honeypot Adport:139 => Honeypot B
16
提案システムの構成(Policy-based Forwarding)
Goto Laboratory, Waseda University
17
提案システムのソフトウェア実装
Goto Laboratory, Waseda University
ポート・ミラーリングを利用
( フロースイッチの代替 )
input process
NIC
Analyzers
NIC
Delay Queue
Active HostMonitoring
delete packet
forwarding
(c)
(a) (b)(d)
mirroring
gateway
Forwarder
forwardingtable
Local AreaNetwork
Internet
NIC
IPTables
outputprocess
deleteflow
Forwarder Implementation
18
Linux serverデータプレーン、コントロールプレーンをすべて Linux の netfilter 上
に実装
assign VLAN tag
Goto Laboratory, Waseda University
iptables honeypot processNIC
○○○○
○○○
inputprocess
virtual interfaces
create
iptables loggingprocess
NIC
sensor
honeypot
Honeypot / Sensor Wrapper Implementation
19
1) syn パケットの宛先 IP アドレスを持つ仮想インターフェイスを生成2) ハニーポット・プロセスにフォワード→ Unix socket を利用するハニーポットはソフトウェアの変更なしに 送信元を偽装してセッションを確立できる
Goto Laboratory, Waseda University
20
実験
Goto Laboratory, Waseda University
実験環境• 大学ゲートウェイに提案システムを設置
– トラフィックは昼夜平均 300Mbps • ピーク時は 1Gbps超
– 2011 年 7 月の数週間にわたり観測– 大学のすべてのサブネットを観測対象
• クラス B (/16, total 65,536 IP addresses)
• 評価の観点– フローベースの不正パケット検出方式の精度– Active な IP アドレスのカバー率– システムの性能評価
21Goto Laboratory, Waseda University
大学ネットワークにおけるTCP syn/ack パケットの遅延割合
22
ゲートウェイのトラフィックをモニターして、 syn を検出後に syn/ack を観測するまでの時間を計測
99.997% のフローは syn/ack パケットが 5sec 未満で到達
syn/ack が遅れたケースでは、セッションが成立しているか?
Goto Laboratory, Waseda University
syn/ack 遅延セッションにおけるコネクション成立数
23
5sec ではセッション確立フローは無しただし一部の例外ホスト (Planetlab ノード ) を
除く
Goto Laboratory, Waseda University
2 3 4 5 6 7 8 9 100
5000
10000
15000
20000
25000
0.0000%
0.0010%
0.0020%
0.0030%
0.0040%
0.0050%
0.0060%
0.0070%delay queue sizedelayed syn/ack ra-tio
forward delay [sec]
# of
syn
pac
kets
dela
yed
syn/
ack
rati
o
no establishedsession is located
syn/ack 遅延率と syn パケット保持数のトレードオフ評価
24
遅延キューのタイムアウト (forward delay: T sec) が長すぎと… ・ キューに貯まる syn パケットが増え、メモリを消費 ・ ハニーポットの場合、 TCP タイムアウトによりセッションが確立しない恐れ
→ 以上を総合的に判断して遅延キューのタイムアウト (T) を 5 sec に設定
better
Goto Laboratory, Waseda University
1 4 7 10 13 16 19 22 25 28 31 34 37 40 43 460
10000
20000
30000
40000
50000
60000
70000
80000unused (IP-address-based)
our method (flow-based)
hours
# of
IP a
ddre
ss
multi-dimensional conventional darknet
ネットワーク脅威検出に利用可能な IP アドレスの個数
25
パケットを発信していない、 inactive と推定される IP アドレスをカウント
(Darknet 方式 / Virtual Dark IP address 方式 )
syn/ack を応答しないポートが少なくとも 1つ以上存在する IP アドレスをカウ
ント
→ Active なホストが多く存在するネットワークにおいて、 モニタリング対象の IP アドレスを大幅に拡張することに成功
Goto Laboratory, Waseda University
0 2700 5400 8100 10800 13500 16200 18900 21600 24300 27000 297000
20000
40000
60000
80000
100000
120000
140000
0
1
2
3
4
5
6
7syn table [#]
flow table [#]
memoy usage [MB]
second
flow
s or
pac
kets
[#]
mem
ory
usag
e [M
byte
s]
メモリ使用率の評価
26
delay queue 大学の IPv4 アドレス空間 (/16) 全体を監視する場合でも高々 7MByteのメモリ消費
メモリ消費量は、その時点におけるコネクション数に依存
IPv6 等の広いアドレス空間をわずかなサーバ資源で観測可能
Goto Laboratory, Waseda University
まとめ• フローベースの不正パケット攻撃検出システムを提案
– Active な IP アドレスに対する攻撃を観測できるため、 IP アドレス利用率の高い企業・大学のネットワークでも幅広くセンサ、ハニーポットを展開
– IP アドレスリストを保持する必要がなく、 IPv6 等の広いアドレス空間も少ないリソースで観測できる
• プログラマブル・フロースイッチと連携したポリシーにより、観測網の展開をより柔軟に– 従来の Darknet と併用することで、互いの長所を活かした観測を
実現– Flow Class の定義により、観測対象のスコープに含める、または除外するネットワークを指定できる
27Goto Laboratory, Waseda University