Future Internet とフロー指向

Future Internet とフロー指向後藤滋樹 , 石井翔 , 山田建史 , 下田晃弘

2011/12/26NEC- 早稲田大学技術交流会1-1

Future Internet


NSF GENI, Spiral 3http://fif.kr/gfiw/11/mt/GFIW_MT_9_Chip%20Elliot.pdf Chip Elliott, GENI Project Director

Trials of “GENI-enabled” commercial equipment NEC WiMAX Base Station NEC IP8800 Ethernet Switch

Internet2 Joint Techshttp://events.internet2.edu/2012/jt-loni/Software Defined Network

Global Future Internet Summit in Korea, Nov-Dec, 2011http://fif.kr/gfi-summit/11/program.htm Software

Defined Networking(SDN), Guru Parulkar, Stanford

http://fif.kr/gfiw/11/mt/GFIW_MT_2_Guru%20Parulkar(2).pdf

Future Internet


NSF Future Internet Architecture (FIA) Awards August 27, 2010, Press Release 10-156 Named Data NetworkingMobilityFirstNEBULAeXpressive Internet Architecture

The EU Framework Programme for Research and InnovationHORIZON 2020 from 2014 to 2020, 80 billion Euro

OpenFlow in Europe: Linking Infrastructure and Applicaitons http://www.fp7-ofelia.eu/about-ofelia/partners/

Partner: NEC Europe

The European Future Internet Alliancehttp://initiative.future-internet.eu/publications.html

Future Internet


Future Internet Assembly (FIA) http://www.springer.com/computer/communication+networks/book/978-3-642-20897-3 The network of the future Cloud computing, Internet of services and

advanced software engineering Internet-connected objects Trustworthy ICT Networked media and search systems Socio-economic considerations for the Future

Internet Application domains for the Future Internet Future Internet research and experimentation

(FIRE)

議論の余地あり

1-5

有線と無線昔は長距離が無線、近距離は有線現代は長距離が有線、近距離は無線電信と電話電信はデジタル技術、電話はアナログ技術現代はテレビの信号を電信で送る回線交換とパケット交換パケットは独立ではない回線交換は省エネルギー [1] フロー指向は自然データにタグを付ける←→自動的に判別する怪しいフローの取扱

[1] 持永大 , 小林克志 , 工藤知宏 , 村瀬一郎 , 後藤滋樹 , 「インターネット上のコンテンツ分布を考慮した光回線交換方式及び CDN 方式の採用による省電力の評価」電子通信学会論文誌 B Vol.J94-B, No.10, pp.1293--1302, October, 2011.

サーバ負荷分散におけるOpenFlow を用いた省電力法

2011/12/26NEC- 早稲田大技術交流会2-1

2

背景震災を契機に省電力化が課題サーバ負荷分散システムについても省電力化を考える必要

NEC- 早稲田大学技術交流会2011/12/26 2-2

サーバ負荷分散システムの省電力化の既存手法サーバ負荷分散システムにおいて、サーバの待機を行うことで動的に稼働サーバ数を制御する手法 [1]

ただし、 DNS (Domain Name System) を用いたサーバ負荷分散システムについては考慮されていない DNS キャッシュがあるため、動的な制御に適さない⇒ 本研究はここに着目

2011/12/26 NEC- 早稲田大学技術交流会 2-3

[1] Takayuki Imada, Mitsuhisa Sato, Yoshihiko Hotta, Hideaki Kimura, Power management of distributed web savers by controlling server power state and traffic prediction for QoS, Graduate School of Systems and Information Engineering, University of Tsukuba, IEEE International Symposium on Parallel and Distributed Processing (IPDPS) , pp.1-8, April 2008.

ユーザ群Suspen

d!

研究目的と提案手法 DNS (Domain Name System) を用いたサーバ負荷分散法を改善

OpenFlow を用いることで、可用性を維持しつつ短時間でサーバを待機状態にして、消費電力を削減NEC- 早稲田大学技術交流会2011/12/26 2-4

研究目的

提案手法

OpenFlow

コントローラでスイッチを集中制御一連の通信をフロー※として扱い、フローごとに制御

Switch hardwareSwitch

hardwareSwitch

hardware

Switch hardware

OpenFlow Controller (Server Software)


※ ここで述べるフローは以下のパラメータの組み合わせ受信したスイッチのポート送信元 MAC アドレス宛先 MAC アドレスVLAN のタグ ID送信元 IP アドレス宛先 IP アドレス送信元ポート番号宛先ポート番号

既存手法におけるサーバ待機の問題点

NEC- 早稲田大学技術交流会

Internet

ユーザ群

DNS サーバ www.example.com

www.example.com

= IP1, IP2, IP3, IP4

IP1 IP2 IP3 IP4

キャッシュサーバ待機に時間がかかる

2011/12/26 2-6

通信中待機不可

www.example.com= IP1, IP2, IP3, IP4

IP4 のサーバを待機したい

サーバが待機する際にキャッシュが expire するまでに要求が到着してしまう

DNS ラウンドロビンの改善


The Internet

ユーザ群

DNS サーバ www.example.com

www.example.com


IP1 IP2 IP3 IP4

キャッシュサーバ

2011/12/26 2-7

www.example.com


IP4 のサーバを待機したい

Openflow

早期のサーバ待機が可能

転送

待機可能 !!

Controller

待機時、キャッシュにより到着した要求をアドレスを書き換えて転送

サーバ待機時の提案手法の動作


待機決定前待機対象のサーバへの通信が終わるまで待機実行

OpenFlowコントローラ

待機対象のサーバ

OpenFlowスイッチ待機決定時に通信途中の通信のみを待機対象のサーバに転送（コントローラを使ってフロー単位で定義）

他のOpenFlowスイッチへ

他のOpenFlowスイッチへ

待機

2011/12/26 2-8

待機決定待機対象のサーバへのパケットが0

実証実験提案手法が電力を削減できることを示す実験の方針 :

実験 1: サーバ待機の省電力効果測定実験 2: 待機決定から待機実行までの時間比較実験 3: 実トラヒックへの提案手法の電力削減量算出


実験 1 ( サーバ待機の省電力効果測定 ) 結果


Min Max Avg待機所要時間 [s]

2 3 3

Min

Max Avg

稼働時消費電力 [W]

62 63 62

待機時消費電力 [W]

1 1 1

表 1.1 稼働時と待機時の消費電力

表 1.2 待機時の所要時間

• サーバ待機の所要時間と消費電力を測定• 3秒で、 1W と高速で低い消費電力まで抑えられ、サーバ待機の省電力に対する有効性が示された

図 1 待機時のサーバの消費電力推移

3秒で 1W まで削減

実験 2 ( サーバの待機決定から待機実行までの時間比較 ) 概要サーバの待機を決定してから実行可能となるまでの時間を測定提案手法を用いた場合と、用いない場合を比較


待機決定待機実行待機対象のサーバへの通信が無くなる

実験 2 ( サーバの待機決定から実行までの時間比較 ) 実験環境


疑似 DNS ラウンドロビンクライアント

OpenFlow スイッチ※ 1台のスイッチ内で仮想的に 2台に分離ソフトウェアルータ

Layer 2 スイッチ

サーバ 1 サーバ 2

• 実機で構築• 現在 OpenFlow スイッチによる IP アドレス書き換えが低速なため、 MAC アドレス書き換えを用いて実装

2011/12/26 2-12

転送待機OpenFlow コントローラ

実験 2 ( 待機決定から待機実行までの時間比較 ) 実験結果


• 時間が短いほど良い• 提案手法の場合はキャッシュ時間に関わらず高速に待機可能となる2011/12/26 2-13

図 2 待機決定から待機実行可能となるまでの時間

提案手法は常に 2~3 秒

既存手法は大きく増加

実験 3 ( 実トラヒックへの提案手法の電力削減量算出 ) 概要一日の実トラヒックを測定

ある商用ネットワークにおいて、ポート 80 (HTTP) のセッション数を測定したもの実トラヒックに対してサーバ稼働数を設定し、提案手法の一日の電力削減量を算出


実験 3 ( 実トラヒックへの提案手法の電力削減量算出 ) において仮定する環境


The Internet

ユーザ群

DNS サーバ

www.example.com

キャッシュサーバ

2011/12/26 2-15

Openflow Controller

実験システムのパラメータは実験 1, 2, 3 と同一

17:00:0017:05:0017:10:0017:15:0017:20:0017:25:0017:29:5917:35:0017:40:0017:45:0017:50:0017:55:0018:00:0018:05:0018:10:0018:15:0018:20:0018:24:5918:30:0018:35:0018:40:0018:45:0018:50:0018:55:0018:59:5919:05:0019:10:0019:15:0019:20:0019:25:0019:30:0019:35:0019:40:0019:45:0019:50:0019:55:0020:00:0020:05:0020:10:0020:15:0020:20:0020:25:0020:30:0020:35:0020:40:0020:45:0020:50:0020:55:0021:00:0021:05:0021:10:0021:15:0021:20:0021:25:0021:30:0021:35:0021:40:0021:45:0021:50:0021:55:0022:00:0022:05:0022:10:0022:15:0022:20:0022:25:0022:30:0022:35:0022:40:0022:45:0022:50:0022:55:0023:00:0023:05:0023:10:0023:15:0023:20:0023:25:0023:30:0023:35:0023:40:0023:45:0023:50:0023:55:000:00:000:05:000:10:000:15:000:20:000:25:000:30:000:35:000:40:000:45:000:50:000:55:001:00:001:05:001:10:001:15:001:20:001:25:001:30:001:35:001:40:001:45:001:50:001:55:002:00:002:05:002:10:002:15:002:20:002:25:002:30:002:35:002:40:002:45:002:50:002:55:003:00:003:05:003:10:003:15:003:20:003:25:003:30:003:35:003:40:003:45:003:50:003:55:004:00:004:05:004:10:004:15:004:20:004:25:004:30:004:35:004:40:004:45:004:50:004:55:005:00:005:05:005:10:005:15:005:20:005:25:005:29:595:35:005:40:005:45:005:50:005:55:006:00:006:05:006:10:006:15:006:20:006:24:596:30:006:35:006:40:006:45:006:50:006:55:006:59:597:05:007:10:007:15:007:20:007:25:007:30:007:35:007:40:007:45:007:50:007:55:008:00:008:05:008:10:008:15:008:20:008:25:008:30:008:35:008:40:008:45:008:50:008:55:009:00:009:05:009:10:009:15:009:20:009:25:009:30:009:35:009:40:009:45:009:50:009:55:0010:00:0010:05:0010:10:0010:15:0010:20:0010:25:0010:30:0010:35:0010:40:0010:45:0010:50:0010:55:0011:00:0011:05:0011:10:0011:15:0011:20:0011:25:0011:30:0011:35:0011:40:0011:45:0011:50:0011:55:0012:00:0012:05:0012:10:0012:15:0012:20:0012:25:0012:30:0012:35:0012:40:0012:45:0012:50:0012:55:0013:00:0013:05:0013:10:0013:15:0013:20:0013:25:0013:30:0013:35:0013:40:0013:45:0013:50:0013:55:0014:00:0014:05:0014:10:0014:15:0014:20:0014:25:0014:30:0014:35:0014:40:0014:45:0014:50:0014:55:0015:00:0015:05:0015:10:0015:15:0015:20:0015:25:0015:30:0015:35:0015:40:0015:45:0015:50:0015:55:0016:00:0016:05:0016:10:0016:15:0016:20:0016:25:0016:30:0016:35:0016:40:0016:45:0016:50:0016:55:0017:00:000

10,000

20,000

30,000

40,000

50,000

60,000

70,000

80,000

90,000

100,000

0 20,000 40,000 60,000 80,000 100,000 120,000 140,000 160,000 180,000 200,000 220,000

Only DNS RoundrobinProposedSYN/ACK Count

Time [JST]

Pow

er [W

h]

Ses

sion

Cou

nt

実験 3 ( 実トラヒックへの提案手法の電力削減量算出 )実トラヒックへの提案手法の適用結果DNS キャッシュ時間 =3600 [s]


• DNS ラウンドロビンのみの待機と比べて 5.9% 電力量を削減• 待機を行わない場合と比べて 51.5% 電力量を削減

この部分の電力が削減


• いずれの場合においても電力量の削減に成功• 提案手法を実環境に適用した場合の省電力効果を示す

実験 3 ( 実トラヒックへの提案手法の電力削減量算出 )実トラヒックへの提案手法の適用結果最大で消費電力を 17% 削減

0 2,000 4,000 6,000 8,000 10,000 12,000 10,000,000

11,000,000

12,000,000

13,000,000

14,000,000

15,000,000

16,000,000

17,000,000

18,000,000

TraditionalProposed

DNS Cache Time [Sec]

Pow

er [W

h]

まとめ DNS によるサーバ負荷分散環境において、

OpenFlow スイッチを使ってキャッシュ時間による遅延時間を補正して省電力を実現 DNS のキャッシュ時間が長いほど提案手法による電力削減の効果が大きい


2011/12/26NEC- 早大技術交流会3-1

OpenFｌ ow スイッチによる広域通信の効率的集約法3

研究の背景


情報量増大に伴い悪意のある通信の問題が顕在化国際的なサイバー攻撃が頻発ボットネットの活動の調査が追いつかない

広域的な調査を行い、多様化した攻撃の実態を掴む効率的に攻撃手法の情報収集が必要

IT利用の利便性と情報セキュリティ対策との両立

通信の選別

研究の目的１


既存の悪意のある通信の観測や防御に必要な機器侵入検知システム（ IDS）侵入防御システム（ IPS）ファイアウォール　　　　　観測を行う範囲を広げると　　・設備投資によるコスト増大　　・機器の運用や設定にかかる人的なコスト　ネットワーク機器での制御　観測機器の設置・維持によるコストを抑えられる　広域な通信を効率良く制御できる


ルータにポリシーを与え検知した通信をハニーポットに集約特定のポート番号を元にルーティング Iptables と iproute2 を組み合わせる

ハニーポット

ホスト

Internet

ポート番号によるポリシールーティングルータ

ルータ・エントリ数が大きくなるとルータに負荷がかかる　　→ ポート番号でのみの制御・制御内容の適用はルータ自身にのみ　　→効率が悪く、スケールアウトしない

関連研究：ポリシールーティングを用いた　　　　　　　ネットワークハニーポットの構築白畑真 ,南政樹 , 村井純（情報処理学会研究報告（DSM-038) pp.55-58, 2005）

研究の目的２


広域な通信を一元管理できるネットワーク管理システムが必要

スイッチの機能を転送部と制御部に独立制御部による転送部への一元管理広域通信を効率良く制御し、悪意のある通信を集約する

悪意のある通信の選別安定した通信の集約

OpenFlow スイッチング技術柔軟かつ集約的な制御

提案手法


OpenFｌ ow スイッチによる「悪意のある通信」の集約

機能の独立スケールアウト可能

提案手法：悪意のある通信の集約

2011/12/26NEC- 早大技術交流会3-7ハニーポット

O/F スイッチ 1

O/F スイッチｎ

O/F Controller ホスト

Controller 制御柔軟かつ動的なポリシー柔軟かつ安定したセキュアなシステム

Internet

dshield.org が公開しているブラックリスト

広範囲の通信を OpenFlow スイッチにより選別、誘導選別した通信をハニーポットに集約 ※ O/F ：OpenFlow

ポート番号送信元 IP アドレス

実証実験：概要


攻撃通信を hping3 、正常な通信を iperf で再現 hping3： ping ライクなパケット生成ツール

ポートスキャン、スパムによる攻撃（送信元 IP アドレスの偽造） iperf：トラヒック発生ツール

ファイルダウンロード、スループットの測定比較実験項目

収集率の比較スループットの比較（平均スループット、分散）

実験環境仮想サーバ上に仮想ネットワークを構築

悪意のある通信の再現　


hping3 icmp プロトコルで動作する ping ライクなコマンド多種様々なパケットの生成が可能ポートスキャンと IP スプーフィングを利用

　　　　　　　　　　　※ IP スプーフィング：送信元 IP アドレスの偽造 iperf

擬似トラフィック生成ツールファイルダウンロードやスループットの測定サーバ /クライアント方式で動作　　　　　 1Mbyte のファイルダウンロードを利用測定はしばらく時間を置いて、通信が安定してから行う

実証実験：基本構成と詳細

2011/12/26NEC- 早大技術交流会3-10

サーバ‐ホスト間に 2 つのトラフィックによる通信を観測収集率　　　：攻撃通信がハニーポットに流れた割合スループット：サーバ‐ホスト間を測定

ハニーポット

O/F スイッチ1

O/F スイッチ２

O/F Controller ホスト

※ O/F ：OpenFlow

サーバ正常な通信： iperf攻撃通信　： hping3

実験環境：既存手法

2011/12/26NEC- 早大技術交流会3-11

ルータにポリシーを与え検知した通信をハニーポットに集約特定のポート番号を元にルーティング Iptables と iproute2 を組み合わせる

ハニーポット

ホストポート番号によるポリシールーティング

ポリシルータ

サーバポリシルータ

ポリシールーティングの構成図

2011/12/26NEC- 早大技術交流会3-12

iproute2 と iptables を組み合わせることでポリシーを設定し、転送を行う

サーバ

ホスト

実験環境：提案手法

2011/12/26NEC- 早大技術交流会3-13

ポリシーやコントローラの制御により悪意のある通信を選別

ハニーポット

O/F スイッチ1

O/F スイッチ２

O/F Controller

ホスト

※ O/F ：OpenFlow

送信元 IP アドレスポートポリシー

The Internet

更新

サーバ

使用したポリシー

2011/12/26NEC- 早大技術交流会3-14

ポート番号 nepenthes が対応、検知するポート番号 18種類警察庁セキュリティポータルサイト @police　上位 20件

参考：インターネット治安情勢　 2010年 7～ 9月合計　 27種類

ブラックリスト Dshield.org が提供

ホストの IP アドレス群スキャンや不正アクセス

上位 100件を使用

実験結果１：収集率

2011/12/26NEC- 早大技術交流会3-15

既存手法提案手法0

5

10

15

20

25

30

35

収集率 (％ )

+22.1 ％

ポート番号のみポート番号 +IPブラックリスト

悪意のある全トラフィックから、集約した通信の割合

実験結果２：平均スループット

2011/12/26NEC- 早大技術交流会3-16

平均スループット

(Mbps)分散

既存手法 13.95 0.56

提案手法 12.71 0.35 スループットのばらつきが少ない

まとめ

2011/12/26NEC- 早大技術交流会3-17

安定した広域通信での通信集約システム　　　　

　　　　　　　　提案手法に優位性、実用性

集約率に大きな改善安定したスループット

OpenFlow による通信選別手法

今後の課題

2011/12/26NEC- 早大技術交流会3-18

1. より精度の高いポリシーを検討より動的で柔軟なポリシーの設定

2. 比較対象の検討 - vyatta などの仮想ルータとの比較

今回は openvswitch を使用 - OpenFlow スイッチとの比較

ポリシルータではなく、既存の OpenFlow スイッチで複数種類の手法を検討 3. 実機での検証

今回は仮想環境での実験

多次元的モニタリングよるフローベースのインターネット脅威検出システム


4

インターネットの介した攻撃の早期発見と抑止への取り組み

4-2

インターネットのボットネット、マルウェアによる脅威を・　バックボーン・ネットワーク側 (マクロ )・　エッジ・ネットワーク側 (ミクロ )の双方の視点から分析バックボーン側 (マクロ ) の観測・定点観測システム (JPCERT: ISDAS, NICT: NICTER)・ユーザのサブミッションログ

従来の方法

エッジ側 (ミクロ ) の観測・侵入検知ソフトウェア、ファイアウォール・ハニーポットエッジ側

バックボーン側

本研究では攻撃を少ないリソースで効率的に収集・検出する方法を提案することで、ネットワーク管理者の脅威検出をサポート

Darknet による不正なパケットの検出受信専用のサーバにグローバル IP アドレスを割り当て

スキャンニングや DDoS の発生 (Backscatter) を効率的に検出観測するアドレス空間を範囲を広げるには多くのサーバ資源が必要ネットワークのエッジ側でしか観測できない

4-3

Sensor Box (DarkNet implementation)

Firewall

Accept all incomming packets

Block all outgoing packets

PC

Anomaly packets

No responseAttackerlogging

仮想センサによる広域ネットワーク脅威検出バックボーン上でマクロな定点観測を実現

測定点はバックボーンのルータ / スイッチ ( エッジではない ) 受信のみの IP アドレスを推定、センサとして活用

4-4

・・・・・・

攻撃元(ボット、ワーム等 )

インターネット

仮想センサ( 数万台規模 )

逆向きフローの存在しない一方通行のフローを検出し、その宛先 IP アドレスを仮想センサとみなす

従来の定点観測と比較１．測定に関わるサーバ資源を　大幅に削減２．バックボーン、 ISP に適用可３．広範囲のネットーワーク空間を　　　測定対象としてカバー

Akihiro Shimoda, Shigeki Goto, Flow based anomaly traffic detection, The 13th JSPS/NRF Core iversity Program Seminar, Aug, 2009.

Akihiro Shimoda and Shigeki Goto, Virtual Dark IP for Internet Threat Detection, the 25 th APAN Meeting, pp.17-23, August, 2007.

[1]

[2]

広域ハニーポット展開システム DarkPots 企業・キャンパスネットワークが保有する未使用 IP アドレス上に、センサ、ハニーポットを展開

4-5

ゲートウェイ企業 / キャンパスネットワークインターネット

Vacancy checkerForwarder

ハニーポット orセンサ群疑似応答パケットlist of unused-IPs

mirroring

１． Vacancy checker で未使用 IP アドレスを検出 (Firewall の情報も利用 )２． Forwarder は未使用 IP アドレス　　宛のパケットをセンサ群に転送３．ハニーポット /センサは未使用 IP アドレス　　の代わりにパケットを受信、転送

システムの動作

特徴・管理サブネット内部の余剰 IP アドレス　を脅威観測のために活用・ファイアウォールと連携する場合、　未使用 IP アドレスの誤検知は　一切発生しない。

Akihiro Shimoda, Tatsuya Mori, and Shigeki Goto, Sensor in the Dark: Building Untraceable Large-scale Honeypots using Virtualization Technologies, 2010 10th IEEE/IPSJ International Symposium on Applications and the Internet, pp.22-30, July, 2010.

( 博士論文 ) Akihiro Shimoda, “, “Internet Threat Detection Method based on Virtual Sensors“, 2011 年 3 月 .

[3]

[4]

Darknet / Darkpots 観測の問題点 IPv4 アドレス枯渇に伴い未使用 IP アドレスが

減少 IPv6 等の大きいアドレス空間に適用する場合は

システムの負荷が増大未使用 IP アドレスのリストをシステム内部で保持しなければなら

ない利用中の IP アドレスに対してはセンサ、ハニー

ポットを展開できない4-6

提案手法

4-7

・・・・・・

worms or botnet

the Internet

sensor(s)

honeypot(s)

gateway

IP address space

active host w/o firewall　active host w/ firewallinactive host or unassigned (darknet)

Analyzers

scanpackets

従来の方式 (IP アドレスベース )

4-8

攻撃観測は未使用の IP アドレス上でのみ

・・・・・・

worms or botnet

the Internet

sensor(s)

honeypot(s)

gateway

IP address space

active host w/o firewall　active host w/ firewallinactive host or unassigned (darknet)

Analyzers

scanpackets

提案手法 ( フローベース )

4-9

フロー単位で正常 /不正な通信を識別→ 従来は不可能だった Active な IPアドレス上でも不正パケットの検出を実現

下田晃弘 , 森達哉 , 後藤滋樹 , “DarkFlow検出によるリアルタイム・インターネット脅威検出システム” , 電子情報通信学会ネットワーク仮想化研究会 (NV), NV2011-4, pp. 33—40, July, 2011.[5]

botnet/worm forwardersyn

syn (re-trans.)

syn/ack (honeypot only)

forwarddelay: T sec

sensorlog thesyn packet

sensor/ honeypot

synhoneypotsend a response packet

ack

フローベースの攻撃検出手法 syn に対して syn/ack が一定時間返らないフローを不正なフローと見なしてセンサーに転送

待ち時間については後述の実験で評価済み

4-10

tcp/445tcp/443tcp/139tcp/135tcp/80tcp/22Host

PowerON(A)

OFF(B)

ON(C)

ON(D)

OFF(E)

ON(F)

ON(G)

usable tcp port for threat monitoringunusable tcp port for threat monitoring

IP アドレス網羅率を向上する多次元的モニタリング

4-11

rst or syn/ack を応答しない TCP ポート宛のパケットを不正なパケットとして検出 → 攻撃カバー率が大幅に向上

ホストの状態ON/ active,OFF /inactiveホスト名

従来の darknet で検出可能な範囲

提案システムのアーキテクチャ紹介

4-12

data plane

control plane

Forwarding Table

Monitoring network

Response Locator

delete

Forward the new TCPpacket to delay queue

提案システムの構成( コンポーネント )

Delay queue

The Internet

Entry the TCP flow tothe monitoring slice

Ingress port Egress port

応答フロー検出時に遅延キューから該当するsyn パケットを削除

syn パケットを遅延させるためのキュー

センサ /ハニーポットを動作させるネットワークセンサに転送するフロー情報を保持

4-13

ProgrammableSwitch

Legitimate hosts

Excluding hosts

Grey flows

Malicious flows

to local area network

Analyzers.Dark IPs/net

drop if connection established

Switch

Monitoring class

Non-monitoring class

mirror delay queue

Internet

提案システムの構成(Flow Class Allocation)

4-14

管理者側で除外したいホストや明示的に正常と見なすホストを登録

明示的に使われていないアドレス空間を登録し、 Darknet と併用した観測を実現

Sensor A

Sensor B

Honeypot A

Honeypot B

Policy basedClassificatio

nForwarding

Table

Switch

Forwarder

VLANTrunk

Policy

Policy exampledest x.x.x.x/y => Sensor Adaddr:X and dport:445 => Honeypot Adport:139 => Honeypot B

4-15

提案システムの構成(Policy-based Forwarding)

4-16

提案システムのソフトウェア実装

ポート・ミラーリングを利用( フロースイッチの代替 )

input process

NIC

Analyzers

NIC

Delay Queue

Active Host

Monitoring

delete packet

forwarding

(c)

(a) (b)(d)

mirroring

gateway

Forwarder

forwardingtable

Local Area

Network

Internet

NIC

IPTables

outputprocess

deleteflow

Forwarder Implementation

4-17

Linux serverデータプレーン、コントロールプレーンをすべて Linux の netfilter上に実装

assign VLAN tag

iptableshoneyp

ot process

NIC

○○○○○○○

inputprocess

virtual interfaces

create

iptables loggingprocessNIC

sensor

honeypot

Honeypot / Sensor Wrapper Implementation

4-18

1) syn パケットの宛先 IP アドレスを持つ仮想インターフェイスを生成2) ハニーポット・プロセスにフォワード→ 　 Unix socket を利用するハニーポットはソフトウェアの変更なしに　　送信元を偽装してセッションを確立できる

4-19

実証実験

実験環境大学ゲートウェイに提案システムを設置

トラフィックは昼夜平均 300Mbps ピーク時は 1Gbps超

2011年 7月の数週間にわたり観測大学のすべてのサブネットを観測対象

クラス B (/16, total 65,536 IP addresses) 評価の観点

フローベースの不正パケット検出方式の精度 Active な IP アドレスのカバー率システムの性能評価

4-20

大学ネットワークにおけるTCP syn/ack パケットの遅延割合

4-21

ゲートウェイのトラフィックをモニターして、 syn を検出後にsyn/ack を観測するまでの時間を計測

99.997% のフローは syn/ackパケットが 5sec 未満で到達

syn/ack が遅れたケースでは、セッションが成立しているか？

syn/ack 遅延セッションにおけるコネクション成立数

4-22

5sec ではセッション確立フローは無しただし一部の例外ホスト (Planetlab ノード )を除く

2 3 4 5 6 7 8 9 100

5000

10000

15000

20000

25000

0.0000%

0.0010%

0.0020%

0.0030%

0.0040%

0.0050%

0.0060%

0.0070%delay queue sizedelayed syn/ack ra-tio

forward delay [sec]

# o

f sy

n pa

cket

s

dela

yed

syn/

ack

rati

o

no establishedsession is located

syn/ack 遅延率と syn パケット保持数のトレードオフ評価

4-23

遅延キューのタイムアウト (forward delay: T sec) が長すぎと… ・キューに貯まる syn パケットが増え、メモリを消費・ハニーポットの場合、 TCP タイムアウトによりセッションが確立しない恐れ→ 以上を総合的に判断して遅延キューのタイムアウト (T) を 5 sec に設定

better

1 4 7 10 13 16 19 22 25 28 31 34 37 40 43 460

10000

20000

30000

40000

50000

60000

70000

80000unused (IP-address-based)our method (flow-based)

hours

# o

f IP

add

ress

multi-dimensional conventional darknet

ネットワーク脅威検出に利用可能な IP アドレスの個数

4-24

パケットを発信していない、 inactive と推定される IP アドレスをカウント(Darknet 方式 / Virtual Dark IP address 方式 )

syn/ack を応答しないポートが少なくとも 1 つ以上存在する IP アドレスをカウント

→ Active なホストが多く存在するネットワークにおいて、　　　　　　　　　　モニタリング対象の IP アドレスを大幅に拡張することに成功

0 3300 6600 9900 13200 16500 19800 23100 26400 297000

20000

40000

60000

80000

100000

120000

140000

0

1

2

3

4

5

6

7syn table [#]flow table [#]memoy usage [MB]

second

flow

s or

pac

kets

[#

]

mem

ory

usag

e [M

byte

s]

メモリ使用率の評価

4-25

delay queue 大学の IPv4 アドレス空間 (/16) 全体を監視する場合でも高々7MByte のメモリ消費

メモリ消費量は、その時点におけるコネクション数に依存

IPv6等の広いアドレス空間をわずかなサーバ資源で観測可能

まとめフローベースの不正パケット攻撃検出システムを提案

Active な IP アドレスに対する攻撃を観測できるため、 IP アドレス利用率の高い企業・大学のネットワークでも幅広くセンサ、ハニーポットを展開 IP アドレスリストを保持する必要がなく、 IPv6等の広いアドレス空間も少ないリソースで観測できる

プログラマブル・フロースイッチと連携したポリシーにより、観測網の展開をより柔軟に従来の Darknet と併用することで、互いの長所を活かした観測を実現 Flow Class の定義により、観測対象のスコープに含める、または除外するネットワークを指定できる

4-26

Future Internet とフロー指向

Documents

Transcript of Future Internet とフロー指向