セッション追跡によるプロトコルアノーマリの検知と対処

Slides:



Advertisements
Similar presentations
IP over DVB-RCS の設計と実装 研究背景 DVB-RCS 衛星回線を用いて受信局から送信局への狭帯域な戻り回線を提供 Forward Link Return Link HUB Terminal.
Advertisements

Webプロキシサーバにおける 動的資源管理方式の提案と実装
ファイルキャッシュを考慮したディスク監視のオフロード
セキュリティ機構のオフロードを考慮した仮想マシンへの動的メモリ割当
第1回.
クラウド上の仮想マシンの安全なリモート監視機構
クラスタ分析手法を用いた新しい 侵入検知システムの構築
クラウドにおける ネストした仮想化を用いた 安全な帯域外リモート管理
IaaS 仮想マシン(VM)をネットワーク経由で提供 負荷に応じてVM数や性能を変更できる ハードウェアの導入・管理・維持コストの削減
セッション追跡によるプロトコルアノーマリの検知と対処
TCP (Transmission Control Protocol)
「コンピュータと情報システム」 07章 インターネットとセキュリティ
ファイルシステムキャッシュを 考慮した仮想マシン監視機構
OSが乗っ取られた場合にも機能するファイルアクセス制御システム
P2Pトラフィックの時間的な特性 2003年度卒業論文 宮田健太郎              舘 直芳.
セッション管理 J2EE I 第9回 /
HTTPプロトコルとJSP (1) データベース論 第3回.
HTTPプロトコル J2EE I 第7回 /
Telnet, rlogin などの仮想端末 ftp などのファイル転送 rpc, nfs
ネストした仮想化を用いた VMの安全な帯域外リモート管理
ユーザ毎にカスタマイズ可能な Web アプリケーション用のフレームワークの実装
アスペクト指向プログラミングを用いたIDSオフロード
IPv6アドレスによる RFIDシステム利用方式
第8章 Web技術とセキュリティ   岡本 好未.
セキュリティ(5) 05A2013 大川内 斉.
2004年度 情報システム構成論 第4回 ネットワークセキュリティ基礎
型付きアセンブリ言語を用いた安全なカーネル拡張
IPv6 ネットワークにおける エニーキャスト通信実現のための プロトコル設計と実装
大阪大学 大学院情報科学研究科 博士前期課程2年 宮原研究室 土居 聡
踏み台攻撃だけを抑制できる VMMレベル・パケットフィルタ
第7回ネットワークプログラミング 中村 修.
ソードコードの編集に基づいた コードクローンの分類とその分析システム
7. セキュリティネットワーク (ファイアウォール)
仮想計算機を用いて OSを介さずに行う安全な ファイルアクセス制御
セキュリティ機構のオフロードを考慮した 仮想マシンのスケジューリング
セキュリティ(6) 05A2013 大川内 斉.
分散IDSの実行環境の分離 による安全性の向上
第15章 TFTP:トリビアル・ファイル転送プロトコル
リモートホストの異常を検知するための GPUとの直接通信機構
ユーザ毎にカスタマイズ可能な Webアプリケーションの 効率の良い実装方法
インターネットにおける真に プライベートなネットワークの構築
セキュリティ 05A2013 大川内 斉.
Cisco Umbrella のご紹介 2018 年 1 月.
複数ホストに分割されたメモリを用いる仮想マシンの監視機構
Internet広域分散協調サーチロボット の研究開発
クラウドにおけるIntel SGXを用いた VMの安全な監視機構
UDPマルチキャストチャット    空川幸司.
オープンソース開発支援のための ソースコード及びメールの履歴対応表示システム
オープンソース開発支援のための リビジョン情報と電子メールの検索システム
全体ミーティング 6月6日 島本 大輔(M2) 2006年6月6日(火).
アナライザ パケットを収集 測定用のマシン 通信.
東京工業大学 情報理工学研究科 数理・計算科学専攻 千葉研究室 栗田 亮
SonicWall UTM + “Capture”
Webコミュニティ概念を用いた Webマイニングについての研究 A study on Web Mining Based on Web Communities 清水 洋志.
Intel SGXを用いた仮想マシンの 安全な監視機構
ソフトウェア保守のための コードクローン情報検索ツール
ICMPを用いた侵入検知システムの負荷軽減
仮想環境を用いた 侵入検知システムの安全な構成法
Peer-to-Peerシステムにおける動的な木構造の生成による検索の高速化
SonicWall UTM + “Capture”
IDSとFirewallの連携によるネットワーク構築
トラフィックプロファイラAGURIの設計と実装
仮想マシンに対する 高いサービス可用性を実現する パケットフィルタリング
アナライザ パケットを収集 測定用のマシン 通信.
ユビキタスコンピューティングの ための ハンドオーバー機能付きRMIの実装
強制パススルー機構を用いた VMの安全な帯域外リモート管理
異種セグメント端末による 分散型仮想LAN構築機構の設計と実装
特定ユーザーのみが利用可能な仮想プライベート・ネットワーク
ベイジアンネットワークと クラスタリング手法を用いたWeb障害検知システムの開発
HTTPプロトコルの詳細 M1 峯 肇史.
Presentation transcript:

セッション追跡によるプロトコルアノーマリの検知と対処 SING mizutani(B3) Parent true

Road to Bachelor’s Paper 2004年秋 「ホストベース型防御機構の 設計と実装」(予定) 卒業論文 「不正侵入に対する総合的な セキュリティ環境の実現(仮)」 (あくまで予定) 2004年春「Session Based IDSの 設計と実装」電子情報通信学会 和文論文誌 (投稿中) 2004年春 「セッション追跡によるプロトコル アノーマリの検知と対処」 2003年秋 「The Design and Implementation of Session Based IDS」 USENIX ※ failed 2003年春 「セッション追跡型IDSの設計と実装」 2002年秋 「ホスト情報をもとにした  攻撃情報のリスク評価」 2003年1月 「IDSのログ視覚化システムの開発」 情報処理学会 DMSシンポジウム 2002年春 IDSログ視覚化システム「pigeye」の開発

問題点 Intrusion Prevention System (IPS) 遮断できない攻撃 正常な通信を阻害する恐れ 攻撃と判断した通信を遮断 定型的、かつ確実な攻撃(ex:ワーム)を防御 遮断できない攻撃 未知の攻撃 非定型の攻撃(自作ツール等) 正常な通信を阻害する恐れ Preventionが困難

アプローチ 厳密なプロトコルアノーマリは困難 悪意のある通信と判断できる要素 ベンダの独自仕様、ユーザの設定ミス、アプリケーションのバグ 攻撃の可能性がある通信を検知、通信の追跡 内部ホストの応答 正常な応答の場合、攻撃の失敗、あるいは独自仕様、設定ミス、バグなど 異常な応答の場合、攻撃をうけた可能性

解決方法 プロトコルアノーマリから攻撃か否かを判断 攻撃の可能性がある通信 正常とされている通信の方式を登録 反応を含めた通信を監視 継続的に監視する事で判断 攻撃が成功したと考えられるホストへの内外ともに拒否 被害の拡大を防止

具体例 正常な通信 異常が発生 した通信 成功コード(200) や エラーコード(400等)を含む応答 とても長いHTTP GET Request (入力ミス等) HTTPのレスポンスコードを含まない応答 異常が発生 した通信 とても長いHTTP GET Request (Exploit Codeを含む)

プロトコルアノーマリ防御に関する設計 Inlineモード シグネチャによる検知 Out of scope トラフィックの転送、遮断の設定 マルチプラットホーム シグネチャによる検知 プロトコルの要求と応答をルールとして定義 数字、アルファベット、バイナリコードを指定するよう拡張 Out of scope unknownなプロトコル(自作/非公開プロトコル) 暗号化されたトラフィック

防御機構の概要 異常のあった通信を遮断 Layer-3 Layer-2 Interface-2 Interface-1 本実装

システム概要 Search Signature Interface-1 Packet Capture Interface-2 Search Trigger Signature Search Tracking Packet Capture Search Signature Forward / Drop Interface-1 Interface-2 Reject Address List

実装 C言語による実装 テスト環境 Session-Based IDSを拡張 libpcap, libnet Debian GNU/Linux testing 3.0 FreeBSD 5.2.1-Release Session-Based IDSを拡張 http://www.sfc.wide.ad.jp/~mizutani/blitz 防御ができたかどうかを、示さなければいけない。

シグネチャ例 alert “Web Too-Long Request Attempt” tcp any->80 { シグネチャの名前 TCP port 80へのアクセス alert “Web Too-Long Request Attempt” tcp any->80 { fac:(payload=0:3,”GET” & “HTTP/1.1”; payload_len=100: ;); res:rp_p<1(payload!=0:12,”HTTP/1.1 \d\d\d”;); } [drop: ever, all, 2;]; 行きと帰りがかける、ということがわかればよい。 GETとHTTP/1.1を含み、100byte以上のパケットを最初に検知 永続的に 攻撃元、および攻撃対象を遮断 2つ目のシグネチャ(3行目)を検知したら適用 応答にHTTP/1.1と結果コード(3桁の数字)が含まれなければ攻撃と判断 パケットをdropさせるオプション

実験環境 Host-1 : Lavie M LM500J CPU: Pentium III 500MHz Memory: 192MB IF: 100Base-TX OS: Debian GNU/Linux testing 3.0 Host-2 : ThinkPad X24 CPU: Pentium III 1.13GHz Memory: 640MB IF: 100Base-TX (On Board) OS: Debian GNU/Linux testing 3.0 This System : Dell PowerEdge 1750 CPU: Xeon™ 2.4GHz Memory: 512MB IF: 100Base-TX OS: Debian GNU/Linux testing 3.0

評価 (動作検証) 使用するシグネチャ テストサーバプログラム Port 80(HTTP)へのアクセス 100byte以上のGETリクエストを検知 応答にHTTPの結果コードがふくまれていなければ遮断 テストサーバプログラム あらゆるリクエストに対してHTTPによるHTMLファイルを返すサーバ ただし、リクエストにバイナリコードが含まれると結果コードを含まないデータが返される

評価 (動作検証) リクエストの内容 リクエストの長さ 期待される動作 結果 テキストのみ 100byte未満 何もしない 発見だけする バイナリ含む 発見、遮断する

評価 (速度測定) 50.3026 Mbps 74.3930 Mbps 74.4322 Mbps Host-1,2 間で10MBのファイルをHTTPで転送(100回試行) シグネチャ数 2055個 シングルユーザモード インラインモード、kernelブリッジ、直接接続 平均速度 本システム 50.3026 Mbps Linux kernel bridge 74.3930 Mbps 直接接続 74.4322 Mbps

今後の課題 転送・処理速度 改善策 UserLandで転送処理 パフォーマンスで劣る kernelの機能(libipq on Linuxなど)を用いる kernel中への実装

まとめ 既存の防御手法における問題点を指摘 セッション追跡による解決手法を提案 プロトコルアノーマリ機能追加のための設計 これを用いた防御機構を実装 DPSワークショップに論文提出予定 7月30日 論文提出 「卒論」 卒論としてはこんなことをやろうと思っている! 全体のどの部分までやっているのか。 卒論の一部であると主張。 最初にやることは論文!? 前回USENIX残念だったので、がんばる。 IPS あくまで卒論の一部!? 論文の話とIPS、二つの話が平行している。 論文誌書いたり、ワークショップに出すからいいでしょ! って言っちゃう。

シグネチャ例 プロトコル シグネチャの種類 HTTP, SMTP, FTP, DNS 通常より長いリクエスト バイナリコードを含むリクエスト、あるいは通信 “/bin/sh” を含むリクエスト 連続した0x90(x86 NOOP)を含むリクエスト 0xB0 0x17 0xCD 0x80 (x86 setuid(0))を含むリクエスト *.exe を含むリクエスト

設計 各セッションの情報を保持 プロトコルの要求と応答をルールとして定義 セッションの定義 ネットワークプレフィックス毎にハッシュ検索 Session HTTP 3201 80 10.1.23.24 192.168.2.3 7634 25 SMTP