セッション追跡によるプロトコルアノーマリの検知と対処

Slides:

Advertisements

Similar presentations

第１章ネットワークとコミュニケーション第２節ネットワークのしくみ２ネットワークを支える技術（教科書 p36 ～ p37) 今日の用語  モデム (modulator/demodulator:modem)  IP アドレス (internet protocol address)  ドメインネーム.

Advertisements

IP over DVB-RCS の設計と実装研究背景 DVB-RCS 衛星回線を用いて受信局から送信局への狭帯域な戻り回線を提供 Forward Link Return Link HUB Terminal.

TCP ／ IP の基礎ネットワーク管理者入門. インターネットを支える技術 ISO の 7 階層プロトコルと TCP ／ IP の実装階層機能関連する TCP ／ IP プロトコルアプリケーション層電子メールやファイルの転送といった、具体的なアプリケーションが使用する規約 TELNET.

プロセスの依存関係に基づく分散システムのセキュリティ機構

安全なログオン手順 2004/08/26 Port139 伊原秀明.

クラウド上の仮想マシンの安全なリモート監視機構

クラスタ分析手法を用いた新しい侵入検知システムの構築

SOHOシステムの構築と運用東北NTユーザ会新潟勉強会資料.

（株）アライブネット RS事業部企画開発G 小田誠

B4向け研究グループ紹介セキュリティ＆村岡セキュリティプロジェクト

受動的攻撃について Eiji James Yoshida penetration technique research site

前回の課題 IPv6アドレス IP ARP ICMP NAT インターネット層 2003年12月4日情報ネットワーク論新村太郎.

セッション追跡によるプロトコルアノーマリの検知と対処

TCP (Transmission Control Protocol)

「コンピュータと情報システム」 07章インターネットとセキュリティ

2005年度情報システム構成論第5回ネットワークセキュリティ基礎

第５章情報セキュリティ（前半）［近代科学社刊］

NEC-早大技術交流会 OpenFlowスイッチによる広域通信の効率的集約法

岡村耕二情報ネットワーク岡村耕二情報ネットワーク.

i-Pathルータのフロー情報を用いたDoS攻撃検知法

第13回今日の目標 §４．３情報セキュリティー情報化社会の特徴を社会的な面から概観する情報に関わる危険の要因を示す

HTTPプロトコルとJSP (1) データベース論第3回.

HTTPプロトコル J2EE I 第7回 /

認証と負荷分散を考慮したストリーミングシステムに関する研究

B4向け研究紹介 MTAにおけるspamメール判別方法

IPｖ６アドレスによる RFIDシステム利用方式

情報基盤センター分散システムセキュリティ支援掛２０００年４月１８日

セキュリティ（５） 05A2013 大川内　斉.

2004年度情報システム構成論第4回ネットワークセキュリティ基礎

ほんとうはIDSって何？ Katsuhiro Watanabe 理化学研究所　渡辺勝弘.

Linux リテラシ 2006 第4回ネットワーク CIS RAT.

踏み台攻撃だけを抑制できる VMMレベル・パケットフィルタ

第１１章 UDPユーザ・データグラム・プロトコル

ＴＣＰ／ＵＤＰプロセス間の通信のためのプロトコルＴＣＰ：信頼性高、処理時間大ＵＤＰ：信頼性低、処理時間小 ftp SMTP HTTP

7. セキュリティネットワーク（ファイアウォール）

i-Pathルータのフロー情報を用いたDoS攻撃検知法

セキュリティ（６） 05A2013 大川内　斉.

分散IDSの実行環境の分離による安全性の向上

早稲田大学大学院理工学研究科情報科学専攻後藤研究室修士1年荒井祐一

リモートホストの異常を検知するための GPUとの直接通信機構

インターネットにおける真にプライベートなネットワークの構築

セキュリティ 05A2013 大川内　斉.

複数ホストに分割されたメモリを用いる仮想マシンの監視機構

TCP/IP入門　　　　　　　　　櫻井美帆　　　　　　　　　蟻川朋未　　　　　　　　　服部力三.

クラウドにおけるIntel SGXを用いた VMの安全な監視機構

Q q 情報セキュリティ第１１回：２００４年６月１８日（金） q q.

第16章ＢＯＯＴＰ：ブートストラップ・プロトコル

アナライザパケットを収集測定用のマシン通信.

ネットワークプログラミング（３回目） 05A1302 円田　優輝.

IP over DVB-RCSの設計と実装

Intel SGXを用いた仮想マシンの安全な監視機構

片方向通信路を含むネットワークアーキテクチャに於ける動的な仮想リンク制御機構の設計と実装

すずきひろのぶインターネット・セキュリティの現状すずきひろのぶ本プレゼンテーションは２００２年３月２０日に大阪で講演したものをベースにしています.

信頼できないクラウドにおける仮想化システムの監視機構

後藤滋樹研究室の紹介現在のインターネットの課題敵を知り、己を知れば、百戦危うからず（孫子） 1

ＩＣＭＰを用いた侵入検知システムの負荷軽減

仮想環境を用いた侵入検知システムの安全な構成法

第一回情報セキュリティ０５A1027 後藤航太.

ネットワークのセキュリティを向上する最新技術を搭載！プロファイル形式によるIPsec VPN設定

IDSとFirewallの連携によるネットワーク構築

トラフィックプロファイラAGURIの設計と実装

仮想マシンに対する高いサービス可用性を実現するパケットフィルタリング

クラスタリングを用いたベイズ学習モデルを動的に更新するソフトウェア障害検知手法

Ibaraki Univ. Dept of Electrical & Electronic Eng.

特定ユーザーのみが利用可能な仮想プライベート・ネットワーク

SMTPプロトコル 2001年8月7日龍　浩志.

ベイジアンネットワークとクラスタリング手法を用いたWeb障害検知システムの開発

TCP/IPの通信手順（tcpdump）

プロトコル番号長野英彦.

ユーザ認証の盗聴 2002/9/10 峯肇史牧之内研究室「インターネット実習」Webページ

Presentation transcript:

セッション追跡によるプロトコルアノーマリの検知と対処 SING mizutani(B3) Parent　true

Road to Bachelor’s Paper 2004年秋「ホストベース型防御機構の設計と実装」（予定）卒業論文「不正侵入に対する総合的なセキュリティ環境の実現（仮）」（あくまで予定） 2004年春「Session Based IDSの設計と実装」電子情報通信学会和文論文誌 2004年春「セッション追跡によるプロトコルアノーマリの検知と対処」 2003年秋「The Design and Implementation of Session Based IDS」 USENIX ※ failed 2003年春「セッション追跡型IDSの設計と実装」 2002年秋「ホスト情報をもとにした　攻撃情報のリスク評価」 2003年1月「IDSのログ視覚化システムの開発」情報処理学会 DMSシンポジウム 2002年春 IDSログ視覚化システム「pigeye」の開発

背景 → IPS (Intrusion Prevention System) FirewallによるFiltering 現在、最も一般的な不正侵入防御手法 IP address range Port number Domain name Passさせざるを得ないtraffic 提供しているサービスへの通信内部からの通信信頼しているアドレスからの攻撃 → IPS (Intrusion Prevention System)

Intrusion Prevention System 悪意のある通信をフィルタパケットを落とす例）ウィルス、ワーム、攻撃ツール悪意のあるホストからの通信をフィルタ一定時間 / 管理者が解除するまでフィルタ

動作例？ IPS Exploited !! Attacker Target Malicious packet! Known Unknown Exploit Code Unknown Exploit Code Attacker Exploited !! ？ Target

問題点定型的な攻撃以外は遮断できない誤遮断の可能性確実なルールのみで運用 Overflow Attempt, Assemble Code, Anomaly Packet 攻撃パケットのProtocol Anomalyは過剰検知誤遮断の可能性通信エラー、入力データのミス、ソフトウェアのバグ/仕様、あるいは実際の攻撃正常な通信を妨害してしまう可能性確実なルールのみで運用悪意のあるトラフィックか否かの判断が困難未知の攻撃をうけた場合、被害が拡大悪意をもつ、持たないの判断をどうするか？忙しいネットワークは大変っぽい。スケールするのか？現時点で適切な言い訳ができるようにする。 IDSの検知数を見て、未知の攻撃がどのくらい来ているのか？　セッション数に対してどのくらいの異常があるか。５分観測したセッション数の変化、グラフの変化を見る。怪しい、というフラグがついたのはどのくらいか？

解決方法プロトコルアノーマリから攻撃か否かを判断規格外の通信に対してエラーを返さない場合正常とされている通信の方式を登録反応を含めた通信を監視規格外の通信に対してエラーを返さない場合継続的に監視する事で判断要素を増やす攻撃が成功したと考えられるホストへの内外ともに拒否被害の拡大を防ぐセッションってなんなのか？追跡ってなんなのか？の抽象的な定義 IPアドレス、ポート番号、（モデル）

具体例 HTTP SMTP Out of scope 最初のリクエスト（“GET”、“POST”等）に対して結果コード (200、403、404、500等）が応答に含まれない SMTP HELOコマンドに対して結果コード（250、501）が含まれない HELOコマンドに対する応答にバイナリコードが含まれる Out of scope unknownなプロトコル（自作/非公開プロトコル）暗号化されたトラフィック

動作例 Attacker Target Exploited! ???? No Problem Protocol Anomaly Packet Unknown Exploit Code Attacker Exploited! Error Message ???? Target

有効な環境不特定多数の人間が使うネットワーク熟練した管理者がいないネットワーク外来者のあるネットワーク大学のネットワーク家庭内ネットワーク中小企業のネットワーク

設計 Inline型各セッションの情報を保持プロトコルの要求と応答をルールとして定義セッションの定義ネットワークプレフィックス毎にハッシュ検索プロトコルの要求と応答をルールとして定義セッションの定義 Session HTTP 3201 80 192.168.2.3 10.1.23.24 7634 25 SMTP

今後の予定 6月24日までは電子情報通信学会の論文誌 6月25日から心を入れ替えて、実装 RG-NET内で運用し、評価を行う (和文ですが）USENIXに提出した内容でリベンジ 6月25日から心を入れ替えて、実装 RG-NET内で運用し、評価を行う正常な通信を阻害しないか悪意ある通信を遮断できるか

まとめ内部ホストに対する攻撃の被害を減らすセッション追跡による防御機構を実装する DPSワークショップに論文提出予定 7月30日論文提出「卒論」卒論としてはこんなことをやろうと思っている！全体のどの部分までやっているのか。卒論の一部であると主張。最初にやることは論文！？前回USENIX残念だったので、がんばる。 IPS あくまで卒論の一部！？論文の話とIPS、二つの話が平行している。論文誌書いたり、ワークショップに出すからいいでしょ！　って言っちゃう。