今までの研究成果及び NOVELプロジェクトでの 今後の展望

Slides:



Advertisements
Similar presentations
1 製品説明 プレゼンテーション FortiAPの優位性 プロダクトラインナップのご紹介 プレゼンで ソリューションの特長を 伝えましょう.
Advertisements

TCP / IP の基礎 ネットワーク管理者入門. インターネットを支える技術 ISO の 7 階層プロトコルと TCP / IP の実装 階層機能関連する TCP / IP プロ トコル アプリケーション層電子メールやファイルの転送 といった、具体的なアプリ ケーションが使用する規約 TELNET.
最新ファイルの提供を保証する代理FTPサーバの開発
アドホックCUG I-3. ユビキタスネットワーク制御・管理技術 (Ubilaプロジェクト) ウ.ネットワークサービス制御技術
クラウド上の仮想マシンの安全なリモート監視機構
クラスタ分析手法を用いた新しい 侵入検知システムの構築
B4向け研究グループ紹介 セキュリティ&村岡セキュリティプロジェクト
Ibaraki Univ. Dept of Electrical & Electronic Eng.
IGD Working Committee Update
IaaS 仮想マシン(VM)をネットワーク経由で提供 負荷に応じてVM数や性能を変更できる ハードウェアの導入・管理・維持コストの削減
セッション追跡によるプロトコルアノーマリの検知と対処
北海道大学 理学部 地球科学科 惑星宇宙グループ 4年 高橋 康人
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
キャンパスクラウドによる 実験環境の構築 情報ネットワーク特論 講義資料.
無線LANセキュリティの救世主 IEEE802.1xについて
2005年度 情報システム構成論 第5回 ネットワークセキュリティ基礎
Splunk(スプランク) システム管理業務でこんなお悩み・・・ありませんか? そんなお客様の課題を・・・
インターネット社会の脅威 (インターネット社会のセキュリティ) 開始 再生時間:5分20秒.
第5章 情報セキュリティ(前半) [近代科学社刊]
“All your layer are belong to us” 君達の「階層」は全て我々が戴いた
岡村耕二 情報ネットワーク 岡村耕二 情報ネットワーク.
Keio University Takefuji Lab. SecurityTeam INAS Kensuke Naoe
IPv6アドレスによる RFIDシステム利用方式
慶應義塾大学 武藤研究室 セキュリティグループINAS 直江健介
MPIによる行列積計算 情報論理工学研究室 渡邉伊織 情報論理工学研究室 渡邉伊織です。
Distributed Intrusion Detection System
Copyright Yumiko OHTAKE
Ibaraki Univ. Dept of Electrical & Electronic Eng.
コンピュータとネットワークの利用 国際経営学科 牧野ゼミ3年 足立龍哉.
セキュリティ(5) 05A2013 大川内 斉.
2004年度 情報システム構成論 第4回 ネットワークセキュリティ基礎
39.3 無線LAN まるごとパック 無線LANのお悩みすっきり解決 安心・安全・快適 万円〜 安心 安全 快適 × ご予算
7. セキュリティネットワーク (ファイアウォール)
特定ユーザーのみが利用可能な仮想プライベート・ネットワーク
分散IDSの実行環境の分離 による安全性の向上
2009年度卒業論文発表 CDNコンテンツサーバの動的負荷分散
PGP インターネットで 広く使われている暗号技術
Why SonicWall? ~SonicWall UTM製品が選ばれる3つの理由~ 特許技術の”RFDPI” マルチコアアーキテクチャ
インターネットにおける真に プライベートなネットワークの構築
アップデート 株式会社アプライド・マーケティング 大越 章司
セキュリティ 05A2013 大川内 斉.
複数ホストに分割されたメモリを用いる仮想マシンの監視機構
Linux リテラシ 2006 第5回 SSH と SCP CIS RAT.
Internet広域分散協調サーチロボット の研究開発
オープンソース開発支援のための リビジョン情報と電子メールの検索システム
Data Clustering: A Review
暗号技術 ~暗号技術の基本原理~ (1週目) 情報工学科  04A1004 石川 真悟.
Webコミュニティ概念を用いた Webマイニングについての研究 A study on Web Mining Based on Web Communities 清水 洋志.
Intel SGXを用いた仮想マシンの 安全な監視機構
軽量な仮想マシンを用いたIoT機器の安全な監視
武藤研究会 研究プロジェクト 調べてみようBiometricsの未来 環境情報学部2年 山本浩之.
ICMPを用いた侵入検知システムの負荷軽減
コミュニケーションと ネットワークを探索する
仮想環境を用いた 侵入検知システムの安全な構成法
第一回 情報セキュリティ 05A1027 後藤航太.
ネットワークのセキュリティを向上する最新技術を搭載! プロファイル形式によるIPsec VPN設定
IDSとFirewallの連携によるネットワーク構築
トラフィックプロファイラAGURIの設計と実装
仮想マシンに対する 高いサービス可用性を実現する パケットフィルタリング
修士研究計画 CGM作成・共有支援基盤(仮)の構築
クラスタリングを用いた ベイズ学習モデルを動的に更新する ソフトウェア障害検知手法
ネット時代のセキュリティ3(暗号化) 2SK 情報機器工学.
異種セグメント端末による 分散型仮想LAN構築機構の設計と実装
特定ユーザーのみが利用可能な仮想プライベート・ネットワーク
データの改竄を防ぐ仕組み 2002/9/12 牧之内研究室「インターネット実習」Webページ
情報ネットワーク 岡村耕二.
ベイジアンネットワークと クラスタリング手法を用いたWeb障害検知システムの開発
管理VMへの キーボード入力情報漏洩の防止
ユーザ認証の盗聴 2002/9/10 峯 肇史 牧之内研究室「インターネット実習」Webページ
Presentation transcript:

今までの研究成果及び NOVELプロジェクトでの 今後の展望 政策・メディア研究科一年 直江健介(naoe@sfc.keio.ac.jp)

所属 ニューラルネットワーク 武藤研究会セキュリティ班INAS 既存の侵入検知システム ネットワークトラフィックの可視化 ウイルス カーネルセキュリティ 新しいネットワーク侵入検知システムの開発

新しい侵入検知システム クラスタ分析手法を用いたIDS 分散型侵入検知システム(DIDS)

セキュリティの現状 今まで以上、リアルタイムに不正アクセスを検出したい PCユーザの増加 ウイルスによる被害の増加、最近は減少傾向 常時接続のインフラやサービスが充実 SOHOや家庭内LANなどの小規模ネットワーク 今まで以上、リアルタイムに不正アクセスを検出したい (図 IPAから)

IDSの位置付け 環境と脅威に応じた動的(能動的)な防御 IDSによる通知 侵入の検出 侵入失敗の検出

不正侵入・不正アクセスの 具体的な行動の流れ 不正侵入・不正アクセスの          具体的な行動の流れ

侵入検知システム(IDS)とは? IDSの種類 ネットワークベース ホストベース 検出方法 不正検出 異常検出

新しい侵入検知システム クラスタ分析手法を用いたIDS 分散型侵入検知システム(DIDS)

既存IDSの問題点と課題 ネットワークベースIDSの欠点 NIDS/HIDS両方の欠点(根源的な問題) シグネチャの管理が大変なため安定した運用が難しい 未知の攻撃手法に対して脆い ネットワーク負荷がかかる NIDS/HIDS両方の欠点(根源的な問題) ホストが落とされたら終わり SshやVPNなどの暗号化された監視が不可能

アイデア 異常検出アルゴリズムを用いればできる?? 他のIDSが取りこぼす攻撃を検出できるIDSを開発したい! 未知の攻撃に対しても反応したい! 異常検出アルゴリズムを用いればできる??

ADが敬遠されてきた理由 誤警報率が高い プロファイルの作成が大変 正常の定義が困難

関連研究・関連IDS 「ネットワークトラヒックのクラスタリングによる侵入検出手法に関する研究」 SFC修士論文 磯崎宏氏 「侵入検知に関するレポートでは長期プロファイルと短期プロファイルを比較する統計的異常解析手法」 沖電気研究開発 武内春夫氏、福士賢二氏

INASの開発するNIDS 用いる技術 ー クラスタ分析を用いた異常検出 正規化>距離を測る>判別 異常検出のアルゴリズム 用いる技術 ー クラスタ分析を用いた異常検出 異常検出のアルゴリズム 統計的手法、ルールベース、ニューラルネットワーク、クラスタ分析 正規化>距離を測る>判別 クラスタリング手法:k-平均法、マキシマムニューラルネットワークモデル、kohonenモデル 判別手法:ユークリッド距離、マハラノビス距離

クラスタ分析(分類検出の利点) 属性間の関係を調査する事が可能 各攻撃手法を検出する為の効果的な属性に関する背景知識を持つ必要が無い 要するに経験的にやらなくてはいけなかった不正検出法と違いこのクラスタ分析による異常検出法は予備知識を必要としない=未知の攻撃にも対応可能

新しい侵入検知システム クラスタ分析手法を用いたIDS 分散型侵入検知システム(DIDS)

作成しようとするDIDSとは? 検出部分のセンサと制御部分のマネジャを一括。ログ、シグネチャ、プロファイルなどの検出に必要なDBを分散配置 攻撃手法や不正アクセスのパターンを蓄積、学習 異常検出のアルゴリズムも採択することで誤警報率を抑制 シグネチャと攻撃手法、不正行為とプロファイルの比較を高速化(メタデータを生成)

嬉しいことは? 一つ一つのマシンでの処理は減る PCユーザで管理可能 ユーザが多ければ多いほどデータが取れる ネットワーク全体としてみたときに連携力があり堅牢になる PCユーザで管理可能 パーソナルFWに取って代わる? ユーザが多ければ多いほどデータが取れる ユーザレベルで定義ファイルを作成、UP

イメージ図

しかし今の興味は 無線ネットワークの脆弱性について

Wireless Security the vulnerability of WEP and applicating IPsec to wireless systems

ワイヤレスネットワーク インフラが整っていない 通信速度が遅い セキュリティを気にして・・・ 値段が高い 通信機器の速度向上 ノートPC、PDAなどのモバイル端末の普及 IEEE802.11b規格>11Mbps,2.4GHz 値段もそこそこ

IEEE802.11シリーズのセキュリティ SS-ID(or Extended Service Set IDentifier) WEP 32byte以内 –ユーザが自由に設定 WEP MACアドレスフィルタリング

WEPとは? Wireless Equivalent Privacy 暗号化形式はRC4 鍵長は64bit/128bit 40bit secret key plus 24bit IV 104bit secret key plus 24bit IV IV(Initialization Vector) 毎回変化する部分 実際にユーザが入力するのは40bit/104bit 英数字に直すと5文字/13文字

イメージ図 実際の暗号化/暗号化解除プロセスは次のようになります。 データ・フレームが (CRC-32アルゴリズムを使用して) チェックサムされ、c(M) が得られます (このMはメッセージです)。Mとc(M) が連結されて、プレーン・テキストP=(M, c(M)) が得られます。 2.RC4アルゴリズムを使用してPが暗号化されます。これにより、初期設定ベクトル (IV) vと 共通鍵kの関数としてキー・ストリームが生成されます。この共通鍵はRC4 (v, k) と表されます。 プレーン・テキストとキー・ストリームにXOR関数を適用することによって、暗号テキストが得られます。 そして、暗号テキストとIVが無線で送信されます。

もっと分かりやすく(ないかも)

RC4の欠陥 Weaknesses in the Key Scheduling Algorithm of RC4 主にIVの仕様欠陥 Scott Fluhrer,Itsik Mantin,Adi Shamir 主にIVの仕様欠陥 IVデータスペースが24bitしかない 5Mbpsのネットワーク・アクセス・ポイントで24ビットで可能な組み合わせのパケットが半日たらずで全部通過する IEEE802.11規格ではIVが毎パケット違わなくてもよい ScottはCISCO、二人はWeizmann Institute Israelの学者。暗号の世界では一番有名な3人

今までどうしていたのか? WEPすらもしていないところがほとんど 実際ワイヤレスネットワークをサービスと提供しているところはWEPを使いIPsecと絡めることで堅牢なものにしていた。

IPsecとは?(1) IPプロトコルのセキュリティ機能の弱さ IPsec ver1 RFC1825~RFC1829(1995.8) ProposedStandard IPsec version2 RFC2401~2451(1998.11)

IPsecとは?(2) 特徴 ネットワーク上の機密性を確保 ネットワーク上の完全性を確保 データの送信元を認証できる 標準プロトコル(IETF) 将来性(IPv6、IPv4) アルゴリズムの選択の柔軟性 IPによる通信をすべて保護 VPNを構築可能 エンドユーザに透過的

IPsecとは?(3) 機密性(ESP:Encapsulating Security Payload) パケット単位で暗号化 認証(AH:Authentication Header) パケット単位でsrcの認証 完全性(AH,ESP) パケット単位で改ざんのチェック IP層で実現しているため上位層に透過的にセキュリティを提供

WEPを破るツール AirSnort 2001.8.2 Using the Fluhrer, Mantin, and Shamir Attack to Break WEP 128bitの鍵長で暗号化した通信をおよそ2時間

新しい暗号手法 RSA社、Hifn社(2001.12.1) WEP2 高速パケット・キー設定(fast packet keying) データの各パケットを異なった鍵で暗号化できる IEEEによって802.11standardの追加修正として承認 WEP2 128ビット暗号、WEPと下位互換性あり 128bitのIV ほとんどのレガシーハードウェアに対応

結論 ワイヤレスネットワークはAPからはインターネットと同じ。 APまでの通信もWEPを使ってるだけでは不十分

セキュリティが注目されるとき 破られたとき 普段通りに運用していると存在は希薄

今後取り組むべき課題 実際にツールを使いWEPを破る実証実験 セキュリティ技術・知識の啓蒙 IDS開発