1 / 42

仮想センサによる 広域ネットワーク脅威検出法

2008 年 02 月 08 日   修士論文審査会. 仮想センサによる 広域ネットワーク脅威検出法. 早稲田大学大学院  期間理工学研究科 情報理工学専攻   後藤研究室 M1 下田 晃弘. Agenda. 研究背景 提案方式 Virtual Dark IP 広域観測と局所観測 実験結果 広域観測の実験 局所観測の実験 まとめ 今後の研究計画. 研究背景 (1) インターネットワーム・ DDoS 事件. 2003 年 SQL Slammer 最初の 10 分間で、対策不備なサーバの 90% に感染。

lonna
Download Presentation

仮想センサによる 広域ネットワーク脅威検出法

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 2008 年02月08日   修士論文審査会 仮想センサによる広域ネットワーク脅威検出法 早稲田大学大学院  期間理工学研究科 情報理工学専攻   後藤研究室 M1 下田 晃弘

  2. Agenda • 研究背景 • 提案方式 • Virtual Dark IP • 広域観測と局所観測 • 実験結果 • 広域観測の実験 • 局所観測の実験 • まとめ • 今後の研究計画

  3. 研究背景 (1)インターネットワーム・DDoS事件 • 2003年 SQL Slammer • 最初の10分間で、対策不備なサーバの90%に感染。 • 2004年6月15 日 Akamai事件 • 大規模DDoS攻撃により、Google, Yahoo等のサイトが2時間にわたりアクセス不能。 • 近年では・・・ • ping スキャン、SSH スキャニング • 設定不備のサーバを狙ったsyn flood 攻撃 広域のネットワークで発生する攻撃を検出するため、 定点観測システムが世界各地で運用されている。

  4. 研究背景 (2)  定点観測システム 攻撃パケット Statistics Data ログ The Internet 警告情報の発信 sensor Firewall Database & Analysis Server Webサイトへの掲載 システムの構築例 ・JPCERT/CC ISDAS (日本) ・警視庁 定点観測システム (日本) ・Internet Storm Center (米国) Distributed Sensors

  5. 提案方式 • 定点観測システムは敷設コストが高い。 • センサの台数を増やさなければ、観測精度が向上しない。 • センサのためのIPアドレス&サブネット確保が必要 • 提案方式 • 仮想センサによる脅威検出システム • センサ設置の必要はなく、追加コストは一切無し。

  6. 物理センサによる脅威検出 従来の検出手法 末端IPアドレス群で観測 インターネット ・・・ ・・・ センサでは 補足できない 攻撃 攻撃元 (ボット、ワーム等) 物理センサ (数十台程度)

  7. 仮想センサによる脅威検出 仮想センサ方式 Virtual Dark IP群 中継ルータで観測 インターネット ・・・ ・・・ 攻撃元 (ボット、ワーム等) 仮想センサ (数万台程度)

  8. 脅威検出における本研究の位置づけ 攻撃への対処 ・発信元の特定 ・攻撃の防御、抑制 ・警告の発信 ログ解析・攻撃検知 ・シグネチャ型検知 (パターンファイル) ・アノマリ型検知 (閾値、ベイズ解析 etc) 本論文の 研究対象 データ収集 ・パケットキャプチャ装置 (センサ) ・ファイアウォールのログ ・フロー情報の収集 (Netflow,sFlow)

  9. 提案方式

  10. 仮想センサによる脅威検出の概要 仮想センサ Virtual Dark IP 検出 広域観測 局所観測 攻撃元 (ボット、ワーム等) 早稲田大学 学内LAN APANネットワーク APAN:アジア太平洋先端ネットワーク

  11. Dark IP とは? ・ 外部に対して一切のパケット送信しない、受信専用のIPアドレス IN → OUT のパケットは遮断 Anomaly packets logging No response Attacker Firewall PC Sensor Box (Dark IP) OUT → IN のパケットは許可

  12. Virtual Dark IPの検出 通常のサーバ 通常の通信ホスト 双方向通信 サービスを提供しないIPアドレス 一方向通信 攻撃パケット送信元 使われていないIPアドレス 仮想センサ (Virtual Dark IP)

  13. Dark IPで観測可能な不正パケット

  14. 脅威検出システムの実装 リアルタイム or オフライン入力 入力モジュール 仮想センサ検出モジュール SRCIP キャッシュ libpcap library VP候補IPアドレス検出 for 局所観測(Packet Capturing) VP 候補 データベース flow-tools library VPIPアドレス検出 for 広域観測(Netflow Capturing) VP データベース 不正パケット抽出モジュール 検出結果 異常値のフィルタリング 不正パケットログ データベース 不正パケットログの記録 VP:VirtualDarkIPAddress

  15. 実験(1) 広域観測

  16. 広域観測の測定環境 仮想センサ Anomaly packets A worm infected host Scanning packets 中継ルータ (フロー観測対象) An malicious host APAN-JP Wide Area Network トラフィック収集方法: Netflow 測定期間: 2006/06/01 - 2006/10/25 サンプリング間隔: 1/100 Autonomous System

  17. 仮想センサ検出アルゴリズム 広域観測用 未検出 or 未観測 仮想センサ 候補 送信者リスト 仮想センサ

  18. 仮想センサ検出個数

  19. Comparison – Port 445/tcp WCLSCAN: 定点観測システム (日本) ISC: Internet Storm Center

  20. パケット数の比較 – Port 135/tcp

  21. Comparison – Port 139/tcp

  22. 実験(2) 局所観測

  23. 局所観測の実験環境 インターネット Gateway 攻撃元 学内バックボーン トラフィック収集方法: パケットキャプチャ 測定期間: 2008/01/26 - 2008/02/01 フィルタ条件: synフラグ無しのTCPパケットを除く パケット収集装置 仮想センサ群 早稲田大学ネットワーク

  24. 仮想センサ検出アルゴリズム 局所観測用 早稲田大学のサブネット133.9.0.0/16 -> 初期状態として65534個のIPアドレスを登録 観測対象の組織に属する全IPアドレスを登録 Virtual Dark IP 候補 timer (t1) 経過 Virtual Dark IP timer (t2) 経過 通信を検出 通信を検出 通信中IPアドレス

  25. ゲートウェイ観測 Virtual Dark IPの数 VP host num

  26. ゲートウェイ観測 通信中ホストの数 昼 夜 昼 夜 昼 夜 昼 夜 昼 土 日 月 火 水

  27. ゲートウェイ観測 22/tcp

  28. ゲートウェイ観測 445/tcp

  29. ゲートウェイ観測 1026/udp

  30. まとめ • 仮想センサ検出方式 • 新規センサ設置の必要がなく、物理リソース削減。 • 膨大な仮想センサにより観測精度向上。 • 広域観測 • 定点観測システムのデータとの類似点を確認。 • 本当に攻撃パケットなのかという、誤検出に関する検証が必要。 • 局所観測 • センサ個数の増減と、未使用IPアドレスに対するパケットの検出に成功。 • IDS (シグネチャ式) との併用と比較により、攻撃が正しく検出できているかという検証が必要。

  31. 今後の研究計画

  32. Virtual Dark IP の体系化 • Dark IP を脅威検出に利用する試み • 国際会議First, 米国REN-ISAC が共同研究中 • The IUCC/IDC Internet Telescope • DarkIPと同義: • Unused IP address, Darknet,Dark IP space, • トラフィック情報からDark IPを検出するアイデアを述べた論文は、これまで存在しない。 • 早急にアルゴリズムの確立と検証を行う必要がある。

  33. 投稿論文 ■ Akihiro Shimoda and Shigeki Goto Virtual Dark IP for Internet Threat Detection, APAN Network Research Workshop 2007, pp.17—23, Autgust 2007. ■ 下田 晃弘、 後藤滋樹 広域ネットワークにおけるフロー解析に基づく脅威検出法 FIT2007 第6回情報科学技術フォーラム   査読付論文 LL-001 2007年9月

  34. 研究計画 (目標) 2008年 ・ 3月 ゲートウェイ観測の実装と検証 →検証結果をFIT2008に投稿予定 ・ 4月 仮想センサのアルゴリズム改良と検証 ・ 6月 広域・局所観測の統合システムの       開発と運用   ・ 8月 ジャーナル論文への投稿

  35. 広域・局所観測を連携させた、高次元ネットワーク・センシング手法の確立広域・局所観測を連携させた、高次元ネットワーク・センシング手法の確立 仮想センサ群 攻撃元の特定 広域観測 攻撃検出 局所観測 APANネットワーク 早稲田大学 学内LAN SINET 攻撃元 (ボット、ワーム等)

  36. ご清聴ありがとうございました。

  37. 補足資料

  38. Comparison – Port 22/tcp

  39. Comparison – Port 80/tcp

  40. Parameter – Limit Timer

  41. 広域観測と局所観測 パケット収集装置 稼働中のホスト群 不正パケット送信 不正パケット 攻撃元ホスト Gateway ルータ 停止中、IPアドレス未割当のホスト群 (検出対象) インターネット 組織内ネットワーク

  42. 研究の進め方 • 現時点における仮想センサの課題 • 仮想センサを誤検出した場合、通常の通信を攻撃を誤判定してしまう場合がある。 • 大雑把な攻撃の有無のみ判別可能。 • 脅威検出の研究における大きな壁 • 検出結果の比較対象が存在しない。 • ワーム・ウイルスの攻撃はほぼランダム。 • 他の研究機関との情報交換が欠かせない。

More Related