Download
1 / 27
270 likes | 412 Views
多次元的モニタリングよるフローベースの インターネット脅威検出システム. 2012 年 12 月 26 NEC- 早稲田大学 技術交流会 早稲田大学基幹理工学部 情報理工学科 助手 下田 晃弘. 目次. 研究 背景 既存研究 提案 システム システムの評価 まとめ. インターネットの介した攻撃の 早期発見と抑止 へ の取り組み. バックボーン側. インターネットのボットネット、マルウェアによる脅威を ・ バックボーン・ネットワーク側 ( マクロ ) ・ エッジ・ネットワーク側 ( ミクロ ) の双方の視点から分析. 従来の方法.
E N D
多次元的モニタリングよるフローベースのインターネット脅威検出システム多次元的モニタリングよるフローベースのインターネット脅威検出システム 2012年12月26NEC-早稲田大学技術交流会 早稲田大学基幹理工学部 情報理工学科 助手 下田 晃弘 Goto Laboratory, Waseda University
目次 • 研究背景 • 既存研究 • 提案システム • システムの評価 • まとめ Goto Laboratory, Waseda University
インターネットの介した攻撃の早期発見と抑止への取り組みインターネットの介した攻撃の早期発見と抑止への取り組み バックボーン側 インターネットのボットネット、マルウェアによる脅威を ・ バックボーン・ネットワーク側(マクロ) ・ エッジ・ネットワーク側(ミクロ) の双方の視点から分析 従来の方法 バックボーン側(マクロ)の観測 ・ 定点観測システム (JPCERT: ISDAS, NICT: NICTER) ・ ユーザのサブミッションログ エッジ側(ミクロ)の観測 ・ 侵入検知ソフトウェア、ファイアウォール ・ ハニーポット エッジ側 本研究では攻撃を少ないリソースで効率的に収集・検出する方法を 提案することで、ネットワーク管理者の脅威検出をサポート Goto Laboratory, Waseda University
Darknetによる不正なパケットの検出 • 受信専用のサーバにグローバルIPアドレスを割り当て • スキャンニングやDDoSの発生(Backscatter) を効率的に検出 • 観測するアドレス空間を範囲を広げるには多くのサーバ資源が必要 • ネットワークのエッジ側でしか観測できない Block all outgoing packets Anomaly packets logging No response Attacker Firewall PC Sensor Box (DarkNetimplementation) Accept all incomming packets Goto Laboratory, Waseda University
仮想センサによる広域ネットワーク脅威検出 • バックボーン上でマクロな定点観測を実現 • 測定点はバックボーンのルータ/スイッチ (エッジではない) • 受信のみのIPアドレスを推定、センサとして活用 インターネット 従来の定点観測と比較 ・・・ 1.測定に関わるサーバ資源を 大幅に削減 2.バックボーン、ISPに適用可 3.広範囲のネットーワーク空間を 測定対象としてカバー ・・・ 逆向きフローの存在しない一方通行のフローを検出し、 その宛先IPアドレスを仮想センサとみなす 攻撃元 (ボット、ワーム等) 仮想センサ (数万台規模) [1] Akihiro Shimodaand Shigeki Goto, Virtual Dark IP for Internet Threat Detection, the 25th APAN Meeting, pp.17-23, August, 2007. [2] Akihiro Shimoda, Shigeki Goto, Flow based anomaly traffic detection, The 13th JSPS/NRF Core University Program Seminar, Aug, 2009.
広域ハニーポット展開システム DarkPots • 企業・キャンパスネットワークが保有する未使用IPアドレス上に、 センサ、ハニーポットを展開 システムの動作 ハニーポット orセンサ群 1.Vacancy checkerで未使用IP アドレスを検出 (Firewallの情報も利用) 2.Forwarderは未使用IPアドレス 宛のパケットをセンサ群に転送 3.ハニーポット/センサは未使用IPアドレス の代わりにパケットを受信、転送 疑似応答 パケット list of unused-IPs Forwarder Vacancy checker mirroring 特徴 ・ 管理サブネット内部の余剰IPアドレス を脅威観測のために活用 ・ファイアウォールと連携する場合、 未使用IPアドレスの誤検知は 一切発生しない。 ゲートウェイ 企業/キャンパス ネットワーク インターネット Akihiro Shimoda, Tatsuya Mori, and Shigeki Goto, Sensor in the Dark: Building Untraceable Large-scale Honeypots using Virtualization Technologies, 2010 10th IEEE/IPSJ International Symposium on Applications and the Internet, pp.22-30, July, 2010. [3] [4] (博士論文) Akihiro Shimoda, “, “Internet Threat Detection Method based on Virtual Sensors“, 2011年3月. Goto Laboratory, Waseda University
Darknet / Darkpots観測の問題点 • IPv4 アドレス枯渇に伴い未使用IPアドレスが減少 • IPv6 等の大きいアドレス空間に適用する場合はシステムの負荷が増大 • 未使用IPアドレスのリストをシステム内部で保持しなければならないため • 利用中のIPアドレスに対してはセンサ、ハニーポットを展開できない Goto Laboratory, Waseda University
提案手法 Goto Laboratory, Waseda University
従来の方式 (IPアドレスベース) active host w/o firewall active host w/ firewall inactive host or unassigned (darknet) 攻撃観測は未使用のIPアドレス上でのみ ・・・ sensor(s) gateway ・・・ scan packets the Internet honeypot(s) worms or botnet Analyzers IP address space Goto Laboratory, Waseda University
提案手法(フローベース) active host w/o firewall active host w/ firewall フロー単位で正常/不正な通信を識別 → 従来は不可能だったActive なIPアドレス上でも 不正パケットの検出を実現 inactive host or unassigned (darknet) ・・・ sensor(s) gateway ・・・ scan packets the Internet honeypot(s) worms or botnet Analyzers IP address space [5] 下田晃弘, 森達哉, 後藤滋樹, “DarkFlow検出によるリアルタイム・インターネット脅威検出システム”, 電子情報通信学会ネットワーク仮想化研究会(NV), NV2011-4, pp. 33—40, July, 2011.
フローベースの攻撃検出手法 • synに対して syn/ackが一定時間返らないフローを不正なフローと見なしてセンサーに転送 • 待ち時間については後述の実験で評価済み botnet/worm forwarder sensor/ honeypot syn syn (re-trans.) forward delay: T sec sensor log the syn packet syn syn/ack (honeypot only) honeypot send a response packet ack Goto Laboratory, Waseda University
IPアドレス網羅率を向上する多次元的モニタリングIPアドレス網羅率を向上する多次元的モニタリング 従来の darknetで検出可能な範囲 unusable tcp port for threat monitoring usabletcp port for threat monitoring ホストの状態 ON/ active, OFF /inactive ホスト名 rstor syn/ackを応答しないTCPポート宛のパケットを不正なパケットとして検出 →攻撃カバー率が大幅に向上
提案システムのアーキテクチャ紹介 Goto Laboratory, Waseda University
提案システムの構成 (コンポーネント) synパケットを遅延させるためのキュー 応答フロー検出時に 遅延キューから該当するsynパケットを削除 Delay queue delete Response Locator control plane Forward the new TCPpacket to delay queue Entry the TCP flow to the monitoring slice data plane Forwarding Table センサ/ハニーポットを動作させるネットワーク センサに転送するフロー情報を保持 Ingress port Egress port Monitoring network The Internet Goto Laboratory, Waseda University
提案システムの構成(Flow Class Allocation) Monitoring class 明示的に使われていないアドレス空間を登録し、Darknetと併用した観測を実現 Malicious flows Internet Analyzers Dark IPs/net . delay queue mirror Grey flows Programmable Switch drop if connection established Non-monitoring class 管理者側で除外したいホストや明示的に正常と見なすホストを登録 Excluding hosts Legitimate hosts to local area network Switch Goto Laboratory, Waseda University
提案システムの構成(Policy-based Forwarding) Sensor A VLAN Trunk Sensor B Forwarding Table Policy based Classification Switch Honeypot A Forwarder Policy Honeypot B Policy example destx.x.x.x/y => Sensor A daddr:X and dport:445 => Honeypot A dport:139 => Honeypot B Goto Laboratory, Waseda University
提案システムのソフトウェア実装 Goto Laboratory, Waseda University
Forwarder Implementation ポート・ミラーリングを利用 (フロースイッチの代替) Forwarder delete packet Local Area Network assign VLAN tag (a) (d) (b) Active Host Monitoring input process Delay Queue delete flow forwarding mirroring IPTables NIC NIC gateway NIC (c) Internet output process forwarding table Analyzers Linux server データプレーン、コントロールプレーンをすべてLinuxのnetfilter上に実装 Goto Laboratory, Waseda University
Honeypot / Sensor Wrapper Implementation sensor logging process NIC iptables honeypot virtual interfaces ○ ○ ○ ○ ○○○ input process create honeypot process NIC iptables 1) syn パケットの宛先IPアドレスを持つ仮想インターフェイスを生成 2) ハニーポット・プロセスにフォワード → Unix socket を利用するハニーポットはソフトウェアの変更なしに 送信元を偽装してセッションを確立できる Goto Laboratory, Waseda University
実験 Goto Laboratory, Waseda University
実験環境 • 大学ゲートウェイに提案システムを設置 • トラフィックは昼夜平均300Mbps • ピーク時は1Gbps超 • 2011年7月の数週間にわたり観測 • 大学のすべてのサブネットを観測対象 • クラスB (/16, total 65,536 IP addresses) • 評価の観点 • フローベースの不正パケット検出方式の精度 • ActiveなIPアドレスのカバー率 • システムの性能評価 Goto Laboratory, Waseda University
大学ネットワークにおけるTCP syn/ackパケットの遅延割合 ゲートウェイのトラフィックをモニターして、synを検出後にsyn/ackを観測するまでの時間を計測 99.997%のフローはsyn/ackパケットが5sec 未満で到達 syn/ackが遅れたケースでは、 セッションが成立しているか? Goto Laboratory, Waseda University
syn/ack遅延セッションにおけるコネクション成立数syn/ack遅延セッションにおけるコネクション成立数 5sec ではセッション確立フローは無し ただし一部の例外ホスト (Planetlabノード)を除く Goto Laboratory, Waseda University
syn/ack遅延率とsynパケット保持数のトレードオフ評価syn/ack遅延率とsynパケット保持数のトレードオフ評価 no established session is located better 遅延キューのタイムアウト (forward delay: T sec) が長すぎと… ・キューに貯まる synパケットが増え、メモリを消費 ・ハニーポットの場合、TCPタイムアウトによりセッションが確立しない恐れ → 以上を総合的に判断して遅延キューのタイムアウト(T) を5 sec に設定 Goto Laboratory, Waseda University
ネットワーク脅威検出に利用可能なIPアドレスの個数ネットワーク脅威検出に利用可能なIPアドレスの個数 conventional darknet multi-dimensional syn/ackを応答しないポートが少なくとも1つ以上存在するIPアドレスをカウント パケットを発信していない、inactiveと推定されるIPアドレスをカウント (Darknet方式 / Virtual Dark IP address 方式) →Active なホストが多く存在するネットワークにおいて、 モニタリング対象のIPアドレスを大幅に拡張することに成功 Goto Laboratory, Waseda University
メモリ使用率の評価 delay queue 大学のIPv4アドレス空間(/16) 全体を監視する場合でも高々7MByteのメモリ消費 メモリ消費量は、その時点におけるコネクション数に依存 IPv6等の広いアドレス空間をわずかなサーバ資源で観測可能 Goto Laboratory, Waseda University
まとめ • フローベースの不正パケット攻撃検出システムを提案 • ActiveなIPアドレスに対する攻撃を観測できるため、IPアドレス利用率の高い企業・大学のネットワークでも幅広くセンサ、ハニーポットを展開 • IPアドレスリストを保持する必要がなく、IPv6等の広いアドレス空間も少ないリソースで観測できる • プログラマブル・フロースイッチと連携したポリシーにより、観測網の展開をより柔軟に • 従来のDarknetと併用することで、互いの長所を活かした観測を実現 • Flow Classの定義により、観測対象のスコープに含める、または除外するネットワークを指定できる Goto Laboratory, Waseda University
