セッション追跡によるプロトコルアノーマリの検知と対処

Slides:



Advertisements
Similar presentations
第1章 ネットワークとコミュニケーション 第2節 ネットワークのしくみ 2 ネットワークを支える技術 (教科書 p36 ~ p37) 今日の用語  モデム (modulator/demodulator:modem)  IP アドレス (internet protocol address)  ドメインネーム.
Advertisements

IP over DVB-RCS の設計と実装 研究背景 DVB-RCS 衛星回線を用いて受信局から送信局への狭帯域な戻り回線を提供 Forward Link Return Link HUB Terminal.
TCP / IP の基礎 ネットワーク管理者入門. インターネットを支える技術 ISO の 7 階層プロトコルと TCP / IP の実装 階層機能関連する TCP / IP プロ トコル アプリケーション層電子メールやファイルの転送 といった、具体的なアプリ ケーションが使用する規約 TELNET.
プロセスの依存関係に基づく 分散システムのセキュリティ機構
安全なログオン手順 2004/08/26 Port139 伊原 秀明.
クラウド上の仮想マシンの安全なリモート監視機構
クラスタ分析手法を用いた新しい 侵入検知システムの構築
SOHOシステムの構築と運用 東北NTユーザ会新潟勉強会資料.
(株)アライブネット RS事業部 企画開発G 小田 誠
B4向け研究グループ紹介 セキュリティ&村岡セキュリティプロジェクト
受動的攻撃について Eiji James Yoshida penetration technique research site
前回の課題 IPv6アドレス IP ARP ICMP NAT インターネット層 2003年12月4日 情報ネットワーク論 新村太郎.
セッション追跡によるプロトコルアノーマリの検知と対処
TCP (Transmission Control Protocol)
「コンピュータと情報システム」 07章 インターネットとセキュリティ
2005年度 情報システム構成論 第5回 ネットワークセキュリティ基礎
第5章 情報セキュリティ(前半) [近代科学社刊]
NEC-早大技術交流会 OpenFlowスイッチによる広域通信の効率的集約法
岡村耕二 情報ネットワーク 岡村耕二 情報ネットワーク.
i-Pathルータのフロー情報を用いたDoS攻撃検知法
第13回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
HTTPプロトコルとJSP (1) データベース論 第3回.
HTTPプロトコル J2EE I 第7回 /
認証と負荷分散を考慮した ストリーミングシステムに関する研究
B4向け研究紹介 MTAにおけるspamメール判別方法
IPv6アドレスによる RFIDシステム利用方式
情報基盤センター 分散システムセキュリティ支援掛 2000年4月18日
セキュリティ(5) 05A2013 大川内 斉.
2004年度 情報システム構成論 第4回 ネットワークセキュリティ基礎
ほんとうはIDSって何? Katsuhiro Watanabe 理化学研究所 渡辺 勝弘.
Linux リテラシ 2006 第4回 ネットワーク CIS RAT.
踏み台攻撃だけを抑制できる VMMレベル・パケットフィルタ
第11章 UDPユーザ・データグラム・プロトコル
TCP/UDP プロセス間の通信のためのプロトコル TCP:信頼性高、処理時間大 UDP:信頼性低、処理時間小 ftp SMTP HTTP
7. セキュリティネットワーク (ファイアウォール)
i-Pathルータのフロー情報を用いたDoS攻撃検知法
セキュリティ(6) 05A2013 大川内 斉.
分散IDSの実行環境の分離 による安全性の向上
早稲田大学大学院 理工学研究科情報科学専攻 後藤研究室 修士1年 荒井 祐一
リモートホストの異常を検知するための GPUとの直接通信機構
インターネットにおける真に プライベートなネットワークの構築
セキュリティ 05A2013 大川内 斉.
複数ホストに分割されたメモリを用いる仮想マシンの監視機構
TCP/IP入門          櫻井美帆          蟻川朋未          服部力三.
クラウドにおけるIntel SGXを用いた VMの安全な監視機構
Q q 情報セキュリティ 第11回:2004年6月18日(金) q q.
第16章 BOOTP:ブートストラップ・プロトコル
アナライザ パケットを収集 測定用のマシン 通信.
ネットワークプログラミング (3回目) 05A1302 円田 優輝.
IP over DVB-RCSの設計と実装
Intel SGXを用いた仮想マシンの 安全な監視機構
片方向通信路を含む ネットワークアーキテクチャに於ける 動的な仮想リンク制御機構の設計と実装
すずきひろのぶ インターネット・セキュリティの現状 すずきひろのぶ 本プレゼンテーションは2002年3月20日に大阪で講演したものをベースにしています.
信頼できないクラウドにおける仮想化システムの監視機構
後藤滋樹研究室の紹介 現在のインターネットの課題 敵を知り、己を知れば、百戦危うからず(孫子) 1
ICMPを用いた侵入検知システムの負荷軽減
仮想環境を用いた 侵入検知システムの安全な構成法
第一回 情報セキュリティ 05A1027 後藤航太.
ネットワークのセキュリティを向上する最新技術を搭載! プロファイル形式によるIPsec VPN設定
IDSとFirewallの連携によるネットワーク構築
トラフィックプロファイラAGURIの設計と実装
仮想マシンに対する 高いサービス可用性を実現する パケットフィルタリング
クラスタリングを用いた ベイズ学習モデルを動的に更新する ソフトウェア障害検知手法
Ibaraki Univ. Dept of Electrical & Electronic Eng.
特定ユーザーのみが利用可能な仮想プライベート・ネットワーク
SMTPプロトコル 2001年8月7日 龍 浩志.
ベイジアンネットワークと クラスタリング手法を用いたWeb障害検知システムの開発
TCP/IPの通信手順 (tcpdump)
プロトコル番号 長野 英彦.
ユーザ認証の盗聴 2002/9/10 峯 肇史 牧之内研究室「インターネット実習」Webページ
Presentation transcript:

セッション追跡によるプロトコルアノーマリの検知と対処 SING mizutani(B3) Parent true

Road to Bachelor’s Paper 2004年秋 「ホストベース型防御機構の 設計と実装」(予定) 卒業論文 「不正侵入に対する総合的な セキュリティ環境の実現(仮)」 (あくまで予定) 2004年春「Session Based IDSの 設計と実装」電子情報通信学会 和文論文誌 2004年春 「セッション追跡によるプロトコル アノーマリの検知と対処」 2003年秋 「The Design and Implementation of Session Based IDS」 USENIX ※ failed 2003年春 「セッション追跡型IDSの設計と実装」 2002年秋 「ホスト情報をもとにした  攻撃情報のリスク評価」 2003年1月 「IDSのログ視覚化システムの開発」 情報処理学会 DMSシンポジウム 2002年春 IDSログ視覚化システム「pigeye」の開発

背景 → IPS (Intrusion Prevention System) FirewallによるFiltering 現在、最も一般的な不正侵入防御手法 IP address range Port number Domain name Passさせざるを得ないtraffic 提供しているサービスへの通信 内部からの通信 信頼しているアドレスからの攻撃 → IPS (Intrusion Prevention System)

Intrusion Prevention System 悪意のある通信をフィルタ パケットを落とす 例)ウィルス、ワーム、攻撃ツール 悪意のあるホストからの通信をフィルタ 一定時間 / 管理者が解除するまでフィルタ

動作例 ? IPS Exploited !! Attacker Target Malicious packet! Known Unknown Exploit Code Unknown Exploit Code Attacker Exploited !! ? Target

問題点 定型的な攻撃以外は遮断できない 誤遮断の可能性 確実なルールのみで運用 Overflow Attempt, Assemble Code, Anomaly Packet 攻撃パケットのProtocol Anomalyは過剰検知 誤遮断の可能性 通信エラー、入力データのミス、ソフトウェアのバグ/仕様、あるいは実際の攻撃 正常な通信を妨害してしまう可能性 確実なルールのみで運用 悪意のあるトラフィックか否かの判断が困難 未知の攻撃をうけた場合、被害が拡大 悪意をもつ、持たないの判断をどうするか? 忙しいネットワークは大変っぽい。スケールするのか? 現時点で適切な言い訳ができるようにする。 IDSの検知数を見て、未知の攻撃がどのくらい来ているのか? セッション数に対してどのくらいの異常があるか。 5分観測したセッション数の変化、グラフの変化を見る。怪しい、というフラグがついたのはどのくらいか?

解決方法 プロトコルアノーマリから攻撃か否かを判断 規格外の通信に対してエラーを返さない場合 正常とされている通信の方式を登録 反応を含めた通信を監視 規格外の通信に対してエラーを返さない場合 継続的に監視する事で判断要素を増やす 攻撃が成功したと考えられるホストへの内外ともに拒否 被害の拡大を防ぐ セッションってなんなのか? 追跡ってなんなのか? の抽象的な定義 IPアドレス、ポート番号、 (モデル)

具体例 HTTP SMTP Out of scope 最初のリクエスト(“GET”、“POST”等)に対して結果コード (200、403、404、500等)が応答に含まれない SMTP HELOコマンドに対して結果コード(250、501)が含まれない HELOコマンドに対する応答にバイナリコードが含まれる Out of scope unknownなプロトコル(自作/非公開プロトコル) 暗号化されたトラフィック

動作例 Attacker Target Exploited! ???? No Problem Protocol Anomaly Packet Unknown Exploit Code Attacker Exploited! Error Message ???? Target

有効な環境 不特定多数の人間が使うネットワーク 熟練した管理者がいないネットワーク 外来者のあるネットワーク 大学のネットワーク 家庭内ネットワーク 中小企業のネットワーク

設計 Inline型 各セッションの情報を保持 プロトコルの要求と応答をルールとして定義 セッションの定義 ネットワークプレフィックス毎にハッシュ検索 プロトコルの要求と応答をルールとして定義 セッションの定義 Session HTTP 3201 80 192.168.2.3 10.1.23.24 7634 25 SMTP

今後の予定 6月24日までは電子情報通信学会の論文誌 6月25日から心を入れ替えて、実装 RG-NET内で運用し、評価を行う (和文ですが)USENIXに提出した内容でリベンジ 6月25日から心を入れ替えて、実装 RG-NET内で運用し、評価を行う 正常な通信を阻害しないか 悪意ある通信を遮断できるか

まとめ 内部ホストに対する攻撃の被害を減らす セッション追跡による防御機構を実装する DPSワークショップに論文提出予定 7月30日 論文提出 「卒論」 卒論としてはこんなことをやろうと思っている! 全体のどの部分までやっているのか。 卒論の一部であると主張。 最初にやることは論文!? 前回USENIX残念だったので、がんばる。 IPS あくまで卒論の一部!? 論文の話とIPS、二つの話が平行している。 論文誌書いたり、ワークショップに出すからいいでしょ! って言っちゃう。