Distributed Intrusion Detection System

Slides:



Advertisements
Similar presentations
IIS 4.0で開発をするコツ Webアプリケーション構築.
Advertisements

最新ファイルの提供を保証する代理FTPサーバの開発
NORWAY ENGLAND AMERICA FRANCE
アドホックCUG I-3. ユビキタスネットワーク制御・管理技術 (Ubilaプロジェクト) ウ.ネットワークサービス制御技術
クラスタ分析手法を用いた新しい 侵入検知システムの構築
join NASS ~つながりあうネットワーク監視システム~
IaaS 仮想マシン(VM)をネットワーク経由で提供 負荷に応じてVM数や性能を変更できる ハードウェアの導入・管理・維持コストの削減
ラウンドトリップタイムを指標とした 無線LAN のためのアクセスポイント選択手法
セッション追跡によるプロトコルアノーマリの検知と対処
データマイニングのための柔軟なデータ取得、操作を支援するAPIの設計
北海道大学 理学部 地球科学科 惑星宇宙グループ 4年 高橋 康人
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
神奈川大学大学院工学研究科 電気電子情報工学専攻
無線LANセキュリティの救世主 IEEE802.1xについて
Webサイト運営 09fi118 橋倉伶奈 09fi131 本間昂 09fi137 三上早紀.
岡村耕二 情報ネットワーク 岡村耕二 情報ネットワーク.
Keio University Takefuji Lab. SecurityTeam INAS Kensuke Naoe
今までの研究成果及び NOVELプロジェクトでの 今後の展望
WindowsNTによるLAN構築 ポリテクセンター秋田 情報・通信系.
データマイニング 湯山 悠司.
情報ネットワーク論 最終回 動的ルーティング実験デモ ネットワークの構築・管理 遠隔?講義.
ファイアウォール 基礎教育 (1日目).
情報コミュニケーション入門 総合実習(1) 基礎知識のポイント(2)
5年 WAPM-1750D 「安定した無線LAN環境」を1台で構築 ICTを活用した授業で欠かせない 学校でのタブレット活用授業に最適
「コンピュータと情報システム」 06章 通信ネットワーク
イーサネットについて 飯塚務.
総合講義B:インターネット社会の安全性 第8回 ネットワークの脆弱性
IPv6アドレスによる RFIDシステム利用方式
慶應義塾大学 武藤研究室 セキュリティグループINAS 直江健介
MPIによる行列積計算 情報論理工学研究室 渡邉伊織 情報論理工学研究室 渡邉伊織です。
Copyright Yumiko OHTAKE
CONTEC 無線LAN FXシリーズ 一押し製品ご紹介!
情報セキュリティとは? 環境情報学部1年      卯野木邦宏.
情報基盤センター 分散システムセキュリティ支援掛 2000年4月18日
セキュリティ(5) 05A2013 大川内 斉.
ほんとうはIDSって何? Katsuhiro Watanabe 理化学研究所 渡辺 勝弘.
39.3 無線LAN まるごとパック 無線LANのお悩みすっきり解決 安心・安全・快適 万円〜 安心 安全 快適 × ご予算
2017年度 情報技術マップ調査 ITディレクトリの構成とSI要素技術
MPIを用いた最適な分散処理 情報論理工学研究室 角 仁志
7. セキュリティネットワーク (ファイアウォール)
組込みシステムの外部環境分析のためのUMLプロファイル
分散IDSの実行環境の分離 による安全性の向上
生産ライン情報管理システム.
Why SonicWall? ~SonicWall UTM製品が選ばれる3つの理由~ 特許技術の”RFDPI” マルチコアアーキテクチャ
リモートホストの異常を検知するための GPUとの直接通信機構
実行時情報に基づく OSカーネルのコンフィグ最小化
Cisco Umbrella のご紹介 2018 年 1 月.
複数ホストに分割されたメモリを用いる仮想マシンの監視機構
Internet広域分散協調サーチロボット の研究開発
クラウドにおけるIntel SGXを用いた VMの安全な監視機構
情報通信ネットワークの 仕組み.
オープンソース開発支援のための リビジョン情報と電子メールの検索システム
ユビコン環境構築のためのソフトウェアプラットフォーム ユビコン環境における化身話利用の可能性
Intel SGXを用いた仮想マシンの 安全な監視機構
軽量な仮想マシンを用いたIoT機器の安全な監視
すずきひろのぶ インターネット・セキュリティの現状 すずきひろのぶ 本プレゼンテーションは2002年3月20日に大阪で講演したものをベースにしています.
食品業界様向けソリューション TeraStation TS5210DFシリーズ/TS5410DNシリーズ
ICMPを用いた侵入検知システムの負荷軽減
仮想環境を用いた 侵入検知システムの安全な構成法
第一回 情報セキュリティ 05A1027 後藤航太.
Peer-to-Peerシステムにおける動的な木構造の生成による検索の高速化
ネットワークのセキュリティを向上する最新技術を搭載! プロファイル形式によるIPsec VPN設定
IDSとFirewallの連携によるネットワーク構築
仮想マシンに対する 高いサービス可用性を実現する パケットフィルタリング
ETPB: Extraction of Context from Pedestrians' Behavior
異種セグメント端末による 分散型仮想LAN構築機構の設計と実装
知識ベースの試作計画 ●●●研究所 ●●●技術部 稲本□□ 1997年1月.
P2P & JXTA Memo For Beginners
ベイジアンネットワークと クラスタリング手法を用いたWeb障害検知システムの開発
第8章 データベースシステムの発展 8.1 オブジェクトリレーショナルデータベース 8.2 分散データベース 8.3 インターネットとデータベース.
Presentation transcript:

Distributed Intrusion Detection System Keio University Takefuji Lab. SecurityTeam INAS Kensuke Naoe

Agenda 侵入検知システムの抱える問題と必要になる機能と機構 無線LANのセキュリティの問題 今後の方向性

侵入検知システムの抱える課題 未知の手法による攻撃の検出 ネットワークモニタリングの限界 NIDSの回避と攻撃 学習、プロファイル生成 ネットワークモニタリングの限界 暗号化トラフィック、スイッチハブ、HIDSの見直し NIDSの回避と攻撃 InsertionとEvasion、fragmentation、DoS攻撃(負荷分散、分散IDS) 監視ネットワークセグメント内に無線LANが存在する場合 ただし、ネットワークの負荷の問題が出るため、異なるセグメントにただ単にNIDSを導入するのではなく、各計算機が協調し合い、自律しているもの。 分散環境により適した侵入検知システムの開発

必要になってくる機構 大規模な環境で集中管理を必要としない 計算機が落とされてもIDSとしての機能を失わない 学習・蓄積する機構 究極はPCレベルを単位とする分散環境での侵入検知システム 従来のIDSは企業のような大規模な環境を対象に作られていて中央のホストで集中管理するため技術力やコスト面で負担が大きく、また管理しているホストが落とされるとIDSとしての機能を失ってしまう。私は侵入を検知するセンサと管理するマネジャを複数のホストに分散配置し、攻撃手法を蓄積・学習することで防御方法を半自動的に更新し負荷分散させた、個人や小規模ネットワークにも対応したIDSを作成する。

分散IDSとは もともと単一計算機で動作するIDSを拡張 幾つかのシステムにまたがった侵入を認識するために、監視する複数の計算機からログ情報を収集し、それらを解析して不正侵入検知を行なう NIDSとは焦点が違い、ネットワークの監視ではなくホストやOSである

そのセグメントに無線アクセスポイントが導入されるとどうなるのか 無線LANも監視対象に置くべきであろうか IDSの監視対象 ネットワークベースIDSはそのセグメント内を監視 ホストベースIDSはそのホスト自身の挙動、ホストの行なう通信の監視 そのセグメントに無線アクセスポイントが導入されるとどうなるのか 無線LANも監視対象に置くべきであろうか

無線LANとは 有線LANケーブルを電波に置き換えた 1998年ごろにIEEE802.11が規格化されてから本格化 当時は1M~2Mbps程度

無線LANの現状 、普及 通信機器の速度向上 ノートPC、PDAなどのモバイル端末の普及 IEEE802.11b規格>11Mbps,2.4GHz 値段もそこそこ 企業の約半数が無線LANを導入 家庭向け無線LAN製品も続々 ノートPCに標準搭載 街中でも無線LANが使える「ホットスポット」 喫茶店などの店内や駅構内など

無線ネットワークにおける セキュリティ LANからは有線ネットワークと同じ 問題解決のアプローチを有線LANと同じにすることは大変危険 有線のクラッキングの場合、物理的に近づく必要があった 無線のクラッキングの場合、アクセスポイントの通信可能範囲に入るだけ ジャミングなど無線ならではの不正アクセス手法

無線LAN独特の問題 隠れ端末問題 インフラストラクチャーモード アドホックモード

無線LANの危険性 外部から無線LANに侵入される 通信内容の第3者への漏洩 電波による交信が可能な範囲なら屋外からでも可能 第3者に漏洩する危険性がある

じゃ、破ってみよう ESSID NetStumbler WEP AirSnort

NetStumbler

WEPを破るツール AirSnort 2001.8.2 Using the Fluhrer, Mantin, and Shamir Attack to Break WEP 128bitの鍵長で暗号化した通信をおよそ2時間

WEP解析機能のあるAirSnort

問題点 ESSID 基本的に垂れ流しのID WEPキーの解析 暗号化方式に脆弱性あり デフォルト状態でのAP運用 実はかなり多い WEPなし、ESSID:ANY 無線ネットワークセグメントは無線LANのセキュリティで管理するのか、IDSの監視対象とするか 対象外?対象に入れるか 別のアプローチで対処

作成しようとするDIDSとは? (大雑把ですが) 検出部分のセンサと制御部分のマネジャを一括。ログ、シグネチャ、プロファイルなどの検出に必要なDBも分散配置 攻撃手法や不正アクセスのパターンを蓄積、学習。新しい攻撃は定義ファイルなどで配布可能 異常検出のアルゴリズムも採択することで誤警報率を抑制 シグネチャと攻撃手法、不正行為とプロファイルの比較を高速化(メタデータを生成)

嬉しいことは? 管理する計算機での処理は減る PCユーザで管理可能 ユーザが多ければ多いほどデータが取れる ネットワーク全体としてみたときに連携力があり堅牢になる PCユーザで管理可能 パーソナルFWに取って代わる? ユーザが多ければ多いほどデータが取れる ユーザレベルで定義ファイルを作成、UP 免疫がつく、個としては弱いが全体としては強い 感染、攻撃されてしまった計算機をネットワークから切り離せる>切り離してもシステムとして機能する

イメージ図

実装の問題点 Hikeshi ネットワーク監視部分はオープンソースのIDSがある メタデータの生成、やり取りが問題? Snort、Pakemon メタデータの生成、やり取りが問題? RDFでシグネチャやプロファイルデータを記述 RDF Query Lanugages、RDF Query Specification RDFで書かれたメタデータを知識ベースとして捕らえ知識表現や推論の技法を用いて検索を行なう手法 RDFで書かれたメタデータの検索にはさまざまな手法があります. これらは大別して次の二つに分類できます. SQL/XQLのようなアプローチ:RDFをリレーショナルデータベース,もしくはXMLデータベースとして扱う手法 RDFで書かれたメタデータを知識ベースとして捉え,知識表現や推論の技法を用いて検索を行う手法 IBMの"RDF Query Specification"がこのアプローチを採用しています. これを例に話を進めています. このアプローチはRDFのデータをRDBのように見ます. よってできることも基本的にSQLと同じです. "RDF Query Specification"の場合は次の操作ができます.