クラスタ分析手法を用いた新しい 侵入検知システムの構築 クラスタ分析手法を用いた新しい 侵入検知システムの構築 慶應義塾大学・武藤研究室 セキュリティグループINAS
セキュリティの現状 今まで以上、リアルタイムに不正アクセスを検出したい PCユーザの増加 ウイルスによる被害の増加、最近は減少傾向 常時接続のインフラやサービスが充実 SOHOや家庭内LANなどの小規模ネットワーク 今まで以上、リアルタイムに不正アクセスを検出したい (図 IPAから)
セキュリティ技術としての IDSの位置付け 環境と脅威に応じた動的(能動的)な防御 IDSによる通知 侵入の検出 侵入失敗の検出
不正侵入・不正アクセスの 具体的な行動の流れ 不正侵入・不正アクセスの 具体的な行動の流れ
侵入検知システム(IDS)とは? IDSの種類 ネットワークベース ホストベース 検出方法 不正検出 異常検出
既存IDSの問題点と課題 ネットワークベースIDSの欠点 NIDS/HIDS両方の欠点(根源的な問題) シグネチャの管理が大変なため安定した運用が難しい 未知の攻撃手法に対して脆い ネットワーク負荷がかかる NIDS/HIDS両方の欠点(根源的な問題) ホストが落とされたら終わり SshやVPNなどの暗号化された監視が不可能
アイデア >>異常検出法のアルゴリズムを用いればできるかも?? 他のIDSが取りこぼす攻撃を検出できるIDSを開発したい! 未知の攻撃に対しても反応したい! >>異常検出法のアルゴリズムを用いればできるかも??
異常検出法が敬遠されてきた理由 誤警報率が高い プロファイルの作成が大変 異常の定義が困難
関連研究・関連IDS 「ネットワークトラヒックのクラスタリングによる侵入検出手法に関する研究」 SFC修士論文 磯崎宏氏 「侵入検知に関するレポートでは長期プロファイルと短期プロファイルを比較する統計的異常解析手法」 沖電気研究開発 武内春夫氏、福士賢二氏 フリーウェア「HostSentry」
開発にいたる経緯 キーウェアソルーションス(古屋さん) IPAの下請け ITC(情報技術コンソーシアム)
INASの開発するNIDS 用いる技術 ー クラスタ分析を用いた異常検出 正規化>距離を測る>判別 異常検出のアルゴリズム 用いる技術 ー クラスタ分析を用いた異常検出 異常検出のアルゴリズム 統計的手法、ルールベース、ニューラルネットワーク、クラスタ分析 正規化>距離を測る>判別 クラスタリング手法:k-平均法、マキシマムニューラルネットワークモデル、kohonenモデル 判別手法:ユークリッド距離、マハラノビス距離
クラスタ分析(分類検出の利点) 属性間の関係を調査する事が可能 各攻撃手法を検出する為の効果的な属性に関する背景知識を持つ必要が無い 要するに経験的にやらなくてはいけなかった不正検出法と違いこのクラスタ分析による異常検出法は予備知識を必要としない=未知の攻撃にも対応可能
具体的な実装部分 libpcapを利用したネットワークアナライザでパケットをキャプチャ あらかじめ決めた属性に基づきクラスタリングをする 距離の判別を行い著しく距離のあるものをアラートとして出す
デモ
考察 不正アクセスの手法を特定することは困難 暗号化や、未知の不正手法の発展、意図しないネットワークトラフィックの異常などの検出には効果を発揮すると思われる。 ネットワーク環境が複雑化>非常に有効な警報システム
今後の課題 マハラノビス距離>共分散行列を用いた、よりセンシティブな判別システム マキシマムニューラルネットワークや、Kohonenモデル 最終的に実用システムの構築 監視ホストの自動検出、プロファイルの自動生成、自動更新機能
各メンバーの主な担当作業 設計:梨和 実装:滝澤、安藤 調査:村山 プロジェクトリーダー、渉外:直江
今後の活動予定 今月初旬にはの審査終了 夏(7月~8月) 9月までにキーウェアソルーションズに指針を出す プロトタイプ完成 9月までにキーウェアソルーションズに指針を出す 来期の研究会発表までに製品版をみせれる?