Future Internetとフロー指向 後藤滋樹, 石井翔, 山田建史,下田晃弘 NEC-早稲田大学技術交流会 2011/12/26

Future Internet NSF GENI, Spiral 3 http://fif.kr/gfiw/11/mt/GFIW_MT_9_Chip%20Elliot.pdf Chip Elliott, GENI Project Director Trials of “GENI-enabled” commercial equipment NEC WiMAX Base Station NEC IP8800 Ethernet Switch Internet2 Joint Techs http://events.internet2.edu/2012/jt-loni/ Software Defined Network Global Future Internet Summit in Korea, Nov-Dec, 2011 http://fif.kr/gfi-summit/11/program.htm Software Defined Networking(SDN), Guru Parulkar, Stanford NEC-早稲田大学技術交流会 2011/12/26

Future Internet NSF Future Internet Architecture (FIA) Awards August 27, 2010, Press Release 10-156 Named Data Networking MobilityFirst NEBULA eXpressive Internet Architecture The EU Framework Programme for Research and Innovation HORIZON 2020 from 2014 to 2020, 80 billion Euro OpenFlow in Europe: Linking Infrastructure and Applicaitons http://www.fp7-ofelia.eu/about-ofelia/partners/ Partner: NEC Europe The European Future Internet Alliance http://initiative.future-internet.eu/publications.html NEC-早稲田大学技術交流会 2011/12/26

Future Internet Future Internet Assembly (FIA) http://www.springer.com/computer/communication+netw orks/book/978-3-642-20897-3 The network of the future Cloud computing, Internet of services and advanced software engineering Internet-connected objects Trustworthy ICT Networked media and search systems Socio-economic considerations for the Future Internet Application domains for the Future Internet Future Internet research and experimentation (FIRE) NEC-早稲田大学技術交流会 2011/12/26

議論の余地あり 有線と無線 昔は長距離が無線、近距離は有線 現代は長距離が有線、近距離は無線 有線と無線 昔は長距離が無線、近距離は有線 現代は長距離が有線、近距離は無線 電信と電話 電信はデジタル技術、電話はアナログ技術 現代はテレビの信号を電信で送る 回線交換とパケット交換 パケットは独立ではない 回線交換は省エネルギー [1] フロー指向は自然 データにタグを付ける←→自動的に判別する 怪しいフローの取扱 [1] 持永大, 小林克志, 工藤知宏, 村瀬一郎, 後藤滋樹, 「インターネット上のコンテンツ分布を考慮した光回線交換方式及びCDN方式の採用による省電力の評価」電子通信学会論文誌 B Vol.J94-B, No.10, pp.1293--1302, October, 2011.

サーバ負荷分散における OpenFlowを用いた省電力法 2 サーバ負荷分散における OpenFlowを用いた省電力法 NEC-早稲田大技術交流会 2011/12/26

サーバ負荷分散システムについても 省電力化を考える必要 背景 震災を契機に省電力化が課題 サーバ負荷分散システムについても 省電力化を考える必要 2011/12/26 NEC-早稲田大学技術交流会

サーバ負荷分散システムの省電力化の既存手法 サーバ負荷分散システムにおいて、サーバの待機を 行うことで動的に稼働サーバ数を制御する手法 [1] ただし、 DNS (Domain Name System) を用いた サーバ負荷分散システムについては考慮されていない DNSキャッシュがあるため、動的な制御に適さない ⇒本研究はここに着目 ユーザ群 Suspend! [1] Takayuki Imada, Mitsuhisa Sato, Yoshihiko Hotta, Hideaki Kimura, Power management of distributed web savers by controlling server power state and traffic prediction for QoS, Graduate School of Systems and Information Engineering, University of Tsukuba, IEEE International Symposium on Parallel and Distributed Processing (IPDPS) , pp.1-8, April 2008. 2011/12/26 NEC-早稲田大学技術交流会

研究目的と提案手法 研究目的 DNS (Domain Name System) を用いたサーバ 負荷分散法を改善 OpenFlowを用いることで、 可用性を維持しつつ短時間でサーバを 待機状態にして、消費電力を削減 研究目的 提案手法 2011/12/26 NEC-早稲田大学技術交流会

OpenFlow Controller (Server Software) コントローラでスイッチを集中制御 一連の通信をフロー※として扱い、フローごとに制御 Switch hardware OpenFlow Controller (Server Software) ※ここで述べるフローは 以下のパラメータの組み合わせ 受信したスイッチのポート 送信元MACアドレス 宛先MACアドレス VLANのタグID 送信元IPアドレス 宛先IPアドレス 送信元ポート番号 宛先ポート番号 2011/12/26 NEC-早稲田大学技術交流会

サーバが待機する際に キャッシュがexpireするまでに 要求が到着してしまう 既存手法におけるサーバ待機の問題点 IP4のサーバを待機したい www.example.com DNSサーバ 通信中 待機不可 www.example.com = IP1, IP2, IP3, IP4 IP1 IP2 IP3 IP4 Internet 待機に時間がかかる キャッシュサーバ ユーザ群 www.example.com = IP1, IP2, IP3, IP4 サーバが待機する際に キャッシュがexpireするまでに 要求が到着してしまう 2011/12/26 NEC-早稲田大学技術交流会

待機時、キャッシュにより到着した要求をアドレスを書き換えて転送 DNSラウンドロビンの改善 IP4のサーバを待機したい www.example.com DNSサーバ 待機可能!! www.example.com = IP1, IP2, IP3, IP4 IP1 IP2 IP3 IP4 Openflow 転送 Controller The Internet 早期のサーバ待機が可能 キャッシュサーバ 待機時、キャッシュにより到着した要求をアドレスを書き換えて転送 ユーザ群 www.example.com = IP1, IP2, IP3, IP4 2011/12/26 NEC-早稲田大学技術交流会

サーバ待機時の提案手法の動作 待機決定 待機決定前 待機対象のサーバへの通信が終わるまで 待機実行 待機 待機対象のサーバ 待機対象のサーバへの パケットが0 待機決定 OpenFlow コントローラ 他のOpenFlow スイッチへ 他のOpenFlow スイッチへ OpenFlow スイッチ 待機決定時に通信途中の通信のみを待機対象のサーバに 転送（コントローラを使ってフロー単位で定義） 2011/12/26 NEC-早稲田大学技術交流会

実証実験 提案手法が電力を削減できることを示す 実験の方針: 実験1: サーバ待機の省電力効果測定 実験2: 待機決定から待機実行までの時間比較 実験3: 実トラヒックへの提案手法の電力削減量算出 2011/12/26 NEC-早稲田大学技術交流会

実験1 (サーバ待機の省電力効果測定) 結果 表1.1 稼働時と待機時の消費電力 表1.2 待機時の所要時間 Min Max Avg 稼働時 消費電力 [W] 62 63 待機時 消費電力 [W] 1 3秒で1Wまで削減 表1.2 待機時の所要時間 Min Max Avg 待機 所要時間 [s] 2 3 図1 待機時のサーバの消費電力推移 サーバ待機の所要時間と消費電力を測定 3秒で、1Wと高速で低い消費電力まで抑えられ、 サーバ待機の省電力に対する有効性が示された 2011/12/26 NEC-早稲田大学技術交流会

実験2 (サーバの待機決定から待機実行までの時間比較) 概要 サーバの待機を決定してから実行可能となるまでの 時間を測定 提案手法を用いた場合と、用いない場合を比較 待機対象の サーバへの 通信が無くなる 待機決定 待機実行 2011/12/26 NEC-早稲田大学技術交流会

実験2 (サーバの待機決定から実行までの時間比較) 実験環境 サーバ1 サーバ2 OpenFlow コントローラ 待機 転送 OpenFlow スイッチ ※1台のスイッチ内で 仮想的に2台に分離 Layer 2 スイッチ 実機で構築 現在OpenFlowスイッチによるIPアドレス書き換えが低速なため、MACアドレス書き換えを 用いて実装 ソフトウェアルータ 疑似DNSラウンドロビン クライアント 2011/12/26 NEC-早稲田大学技術交流会

実験2 (待機決定から待機実行までの時間比較) 実験結果 既存手法は 大きく増加 提案手法は 常に2~3秒 図2 待機決定から待機実行可能となるまでの時間 時間が短いほど良い 提案手法の場合はキャッシュ時間に関わらず 高速に待機可能となる 2011/12/26 NEC-早稲田大学技術交流会

実験3 (実トラヒックへの提案手法の電力削減量算出) 概要 一日の実トラヒックを測定 ある商用ネットワークにおいて、ポート80 (HTTP) のセッション 数を測定したもの 実トラヒックに対してサーバ稼働数を設定し、 提案手法の一日の電力削減量を算出 2011/12/26 NEC-早稲田大学技術交流会

実験3 (実トラヒックへの提案手法の電力 削減量算出) において仮定する環境 www.example.com DNSサーバ Openflow Controller The Internet キャッシュサーバ ユーザ群 実験システムのパラメータは 実験1, 2, 3と同一 2011/12/26 NEC-早稲田大学技術交流会

実験3 (実トラヒックへの提案手法の電力削減量算出) 実トラヒックへの提案手法の適用結果 DNSキャッシュ時間=3600 [s] この部分の電力が削減 DNSラウンドロビンのみの待機と比べて5.9%電力量を削減 待機を行わない場合と比べて51.5%電力量を削減 2011/12/26 NEC-早稲田大学技術交流会

実験3 (実トラヒックへの提案手法の電力削減量算出) 実トラヒックへの提案手法の適用結果 最大で消費電力を17%削減 いずれの場合においても電力量の削減に成功 提案手法を実環境に適用した場合の省電力効果を示す 2011/12/26 NEC-早稲田大学技術交流会

まとめ DNSによるサーバ負荷分散環境において、 OpenFlowスイッチを使ってキャッシュ時間による 遅延時間を補正して省電力を実現 2011/12/26 NEC-早稲田大学技術交流会

3 OpenFｌowスイッチによる 広域通信の効率的集約法 NEC-早大技術交流会 2011/12/26

研究の背景 情報量増大に伴い悪意のある通信の問題が顕在化 広域的な調査を行い、多様化した攻撃の実態を掴む 国際的なサイバー攻撃が頻発 ボットネットの活動の調査が追いつかない 広域的な調査を行い、多様化した攻撃の実態を掴む 効率的に攻撃手法の情報収集が必要 IT利用の利便性と情報セキュリティ対策との両立 通信の選別 サイバー攻撃やボットネットの活動を把握するためには広域的な調査が必要。 既存のネットワークに影響を与えない NEC-早大技術交流会 2011/12/26

研究の目的１ 既存の悪意のある通信の観測や防御に必要な機器 観測を行う範囲を広げると ネットワーク機器での制御 ・設備投資によるコスト増大 侵入検知システム（IDS） 侵入防御システム（IPS） ファイアウォール 　　　　　観測を行う範囲を広げると 　　・設備投資によるコスト増大 　　・機器の運用や設定にかかる人的なコスト 　ネットワーク機器での制御 　観測機器の設置・維持によるコストを抑えられる 　広域な通信を効率良く制御できる 単純に設置台数が増えるなど、設備投資や人的なコスト増大 →元からあるネットワーク機器で制御ができればそれらが必要なくなる NEC-早大技術交流会 2011/12/26

関連研究：ポリシールーティングを用いた ネットワークハニーポットの構築 白畑真,南政樹,村井純（情報処理学会研究報告（DSM-038) pp ルータにポリシーを与え検知した通信をハニーポットに集約 特定のポート番号を元にルーティング Iptablesとiproute2を組み合わせる ルータ ポート番号による ポリシールーティング ホスト Internet ルータ エントリ数が大きくなるとルータの負荷が大きくなってしまう。 →制御内容が多様になったとしてもその利点を活かすことが難しい 制御内容は適用したルータ自身にのみ適用される →広範囲の通信を制御するために複数のルータそれぞれに適用しなければならない 　結局スケールアウトしない ・エントリ数が大きくなるとルータに負荷がかかる 　　→ ポート番号でのみの制御 ・制御内容の適用はルータ自身にのみ 　　→効率が悪く、スケールアウトしない ハニーポット NEC-早大技術交流会 2011/12/26

研究の目的２ OpenFlowスイッチング技術 広域な通信を一元管理できるネットワーク管理システムが必要 スイッチの機能を転送部と制御部に独立 制御部による転送部への一元管理 広域通信を効率良く制御し、悪意のある通信を集約する 悪意のある通信の選別 安定した通信の集約 OpenFlowスイッチング技術 柔軟かつ集約的な制御 Openflowの説明はあとで詳しく。 ネットワーク機器を1つの制御部により制御可能。 　→このシステムを利用して選別による安定した通信の集約を目指す NEC-早大技術交流会 2011/12/26

提案手法 OpenFｌowスイッチによる 「悪意のある通信」の集約 NEC-早大技術交流会 2011/12/26

提案手法：悪意のある通信の集約 広範囲の通信をOpenFlowスイッチにより選別、誘導 選別した通信をハニーポットに集約 Internet ※ O/F：OpenFlow 選別した通信をハニーポットに集約 ポート番号 送信元IPアドレス dshield.org が 公開している ブラックリスト O/F Controller O/Fスイッチ1 ホスト Internet O/Fスイッチｎ 機能の独立 スケールアウト可能 Controller制御 柔軟かつ動的なポリシー ハニーポット 柔軟かつ安定したセキュアなシステム 2011/12/26 NEC-早大技術交流会

実証実験：概要 攻撃通信をhping3、正常な通信をiperfで再現 比較実験項目 実験環境 hping3： pingライクなパケット生成ツール ポートスキャン、スパムによる攻撃（送信元IPアドレスの偽造） iperf：トラヒック発生ツール ファイルダウンロード、スループットの測定 比較実験項目 収集率の比較 スループットの比較 （平均スループット、分散） 実験環境 仮想サーバ上に仮想ネットワークを構築 NEC-早大技術交流会 2011/12/26

悪意のある通信の再現 ポートスキャンとIPスプーフィングを利用 iperf hping3 悪意のある通信の再現　 hping3 icmp プロトコルで動作するping ライクなコマンド 多種様々なパケットの生成が可能 ポートスキャンとIPスプーフィングを利用 　　　　　　　　　　　※IPスプーフィング：送信元IPアドレスの偽造 iperf 擬似トラフィック生成ツール ファイルダウンロードやスループットの測定 サーバ/クライアント方式で動作 　　　　　1Mbyteのファイルダウンロードを利用 測定はしばらく時間を置いて、通信が安定してから行う NEC-早大技術交流会 2011/12/26

実証実験：基本構成と詳細 サーバ‐ホスト間に2つのトラフィックによる通信を観測 収集率 ：攻撃通信がハニーポットに流れた割合 ※ O/F：OpenFlow サーバ‐ホスト間に2つのトラフィックによる通信を観測 収集率　　 　：攻撃通信がハニーポットに流れた割合 スループット：サーバ‐ホスト間を測定 O/F Controller ホスト O/Fスイッチ1 サーバ O/Fスイッチ２ 正常な通信：iperf 攻撃通信　 ：hping3 ハニーポット NEC-早大技術交流会 2011/12/26

実験環境：既存手法 ルータにポリシーを与え検知した通信をハニーポットに集約 特定のポート番号を元にルーティング Iptablesとiproute2を組み合わせる ポリシルータ ポート番号による ポリシールーティング ホスト サーバ ポリシルータ ハニーポット NEC-早大技術交流会 2011/12/26

ポリシールーティングの構成図 iproute2とiptablesを組み合わせることで ポリシーを設定し、転送を行う ホスト サーバ NEC-早大技術交流会 2011/12/26

実験環境：提案手法 ポリシーやコントローラの制御により悪意のある通信を選別 The Internet 更新 ホスト サーバ ※ O/F：OpenFlow ポリシーやコントローラの制御により悪意のある通信を選別 送信元IPアドレス ポートポリシー O/F Controller 更新 ホスト The Internet O/Fスイッチ1 サーバ O/Fスイッチ２ ハニーポット NEC-早大技術交流会 2011/12/26

使用したポリシー ポート番号 ブラックリスト nepenthesが対応、検知するポート番号 18種類 警察庁セキュリティポータルサイト@police　上位20件 参考：インターネット治安情勢　2010年7～9月 合計　27種類 ブラックリスト Dshield.org が提供 ホストのIPアドレス群 スキャンや不正アクセス 上位100件を使用 NEC-早大技術交流会 2011/12/26

+22.1％ 実験結果１：収集率 悪意のある全トラフィックから、集約した通信の割合 ポート番号のみ ポート番号+IPブラックリスト NEC-早大技術交流会 2011/12/26

実験結果２：平均スループット 既存手法 提案手法 スループットの ばらつきが少ない 平均スループット 分散 (Mbps) 13.95 0.56 提案手法 12.71 0.35 スループットの ばらつきが少ない NEC-早大技術交流会 2011/12/26

安定した広域通信での通信集約システム まとめ OpenFlowによる通信選別手法 集約率に大きな改善 安定したスループット 　　　　　　　提案手法に優位性、実用性 OpenFlowによる通信選別手法 集約率に大きな改善 安定したスループット NEC-早大技術交流会 2011/12/26

今後の課題 3. 実機での検証 1. より精度の高いポリシーを検討 2. 比較対象の検討 - vyattaなどの仮想ルータとの比較 より動的で柔軟なポリシーの設定 2. 比較対象の検討 - vyattaなどの仮想ルータとの比較 今回はopenvswitchを使用 - OpenFlowスイッチとの比較 ポリシルータではなく、既存のOpenFlowスイッチで 複数種類の手法を検討 3. 実機での検証 今回は仮想環境での実験 NEC-早大技術交流会 2011/12/26

多次元的モニタリングよるフローベースの インターネット脅威検出システム 4 多次元的モニタリングよるフローベースの インターネット脅威検出システム NEC-早大技術交流会 2011/12/26

インターネットの介した攻撃の 早期発見と抑止への取り組み バックボーン側 インターネットのボットネット、マルウェアによる脅威を ・　バックボーン・ネットワーク側(マクロ) ・　エッジ・ネットワーク側(ミクロ) の双方の視点から分析 従来の方法 バックボーン側(マクロ)の観測 ・ 定点観測システム (JPCERT: ISDAS, NICT: NICTER) ・ ユーザのサブミッションログ エッジ側(ミクロ)の観測 ・ 侵入検知ソフトウェア、ファイアウォール ・ ハニーポット エッジ側 本研究では攻撃を少ないリソースで効率的に収集・検出する方法を 提案することで、ネットワーク管理者の脅威検出をサポート

Darknetによる不正なパケットの検出 受信専用のサーバにグローバルIPアドレスを割り当て スキャンニングやDDoSの発生 (Backscatter) を効率的に検出 観測するアドレス空間を範囲を広げるには多くのサーバ資源が必要 ネットワークのエッジ側でしか観測できない Sensor Box (DarkNet implementation) Firewall Accept all incomming packets Block all outgoing packets PC Anomaly packets No response Attacker logging

仮想センサによる広域ネットワーク脅威検出 バックボーン上でマクロな定点観測を実現 測定点はバックボーンのルータ/スイッチ (エッジではない) 受信のみのIPアドレスを推定、センサとして活用 ・・・ 攻撃元 (ボット、ワーム等) インターネット 仮想センサ (数万台規模) 逆向きフローの存在しない一方通行のフローを検出し、 その宛先IPアドレスを仮想センサとみなす 従来の定点観測と比較 １．測定に関わるサーバ資源を 　 大幅に削減 ２．バックボーン、ISPに適用可 ３．広範囲のネットーワーク空間を　 　　測定対象としてカバー [1] Akihiro Shimoda and Shigeki Goto, Virtual Dark IP for Internet Threat Detection, the 25th APAN Meeting, pp.17-23, August, 2007. [2] Akihiro Shimoda, Shigeki Goto, Flow based anomaly traffic detection, The 13th JSPS/NRF Core iversity Program Seminar, Aug, 2009.

広域ハニーポット展開システム DarkPots 企業・キャンパスネットワークが保有する未使用IPアドレス上に、 センサ、ハニーポットを展開 システムの動作 ゲートウェイ 企業/キャンパス ネットワーク インターネット Vacancy checker Forwarder ハニーポット orセンサ群 疑似応答 パケット list of unused-IPs mirroring １．Vacancy checkerで未使用IP アドレスを検出 (Firewallの情報も利用) ２．Forwarderは未使用IPアドレス 　　宛のパケットをセンサ群に転送 ３．ハニーポット/センサは未使用IPアドレス 　　の代わりにパケットを受信、転送 特徴 ・ 管理サブネット内部の余剰IPアドレス 　 を脅威観測のために活用 ・ ファイアウォールと連携する場合、 　未使用IPアドレスの誤検知は 　一切発生しない。 [3] Akihiro Shimoda, Tatsuya Mori, and Shigeki Goto, Sensor in the Dark: Building Untraceable Large-scale Honeypots using Virtualization Technologies, 2010 10th IEEE/IPSJ International Symposium on Applications and the Internet, pp.22-30, July, 2010. [4] (博士論文) Akihiro Shimoda, “, “Internet Threat Detection Method based on Virtual Sensors“, 2011年3月.

Darknet / Darkpots 観測の問題点 IPv4 アドレス枯渇に伴い未使用IPアドレスが減少 IPv6 等の大きいアドレス空間に適用する場合はシス テムの負荷が増大 未使用IPアドレスのリストをシステム内部で保持しなければならない 利用中のIPアドレスに対してはセンサ、ハニーポット を展開できない

提案手法

従来の方式 (IPアドレスベース) 攻撃観測は未使用のIPアドレス上でのみ ・・・ gateway ・・・ the Internet active host w/o firewall　 active host w/ firewall inactive host or unassigned (darknet) 攻撃観測は未使用のIPアドレス上でのみ ・・・ sensor(s) gateway ・・・ scan packets the Internet honeypot(s) worms or botnet IP address space Analyzers

提案手法 (フローベース) フロー単位で正常/不正な通信を識別 active host w/o firewall　 active host w/ firewall inactive host or unassigned (darknet) フロー単位で正常/不正な通信を識別 → 従来は不可能だったActive なIPアドレス上でも 不正パケットの検出を実現 ・・・ sensor(s) gateway ・・・ scan packets the Internet honeypot(s) worms or botnet IP address space Analyzers [5] 下田晃弘, 森達哉, 後藤滋樹, “DarkFlow検出によるリアルタイム・インターネット脅威検出システム”, 電子情報通信学会 ネットワーク仮想化研究会(NV), NV2011-4, pp. 33—40, July, 2011.

フローベースの攻撃検出手法 syn に対して syn/ack が一定時間返らないフローを不正なフ ローと見なしてセンサーに転送 待ち時間については後述の実験で評価済み botnet/worm forwarder syn syn (re-trans.) syn/ack (honeypot only) forward delay: T sec sensor log the syn packet sensor/ honeypot honeypot send a response packet ack

IPアドレス網羅率を向上する 多次元的モニタリング 従来の darknet で検出可能な範囲 unusable tcp port for threat monitoring usable tcp port for threat monitoring tcp/445 tcp/443 tcp/139 tcp/135 tcp/80 tcp/22 Host Power ON (A) OFF (B) (C) (D) (E) (F) (G) ホストの状態 ON/ active, OFF /inactive ホスト名 rst or syn/ack を応答しないTCPポート宛のパケットを不正なパケットとして検出 → 攻撃カバー率が大幅に向上

提案システムの アーキテクチャ紹介

提案システムの構成 (コンポーネント) control plane data plane Forwarding Table synパケットを遅延させるためのキュー 応答フロー検出時に 遅延キューから該当するsynパケットを削除 Delay queue delete Response Locator control plane Forward the new TCP packet to delay queue Entry the TCP flow to the monitoring slice data plane Forwarding Table センサ/ハニーポットを動作させるネットワーク センサに転送するフロー情報を保持 Ingress port Egress port Monitoring network The Internet

提案システムの構成 (Flow Class Allocation) Monitoring class 明示的に使われていないアドレス空間を登録し、Darknetと併用した観測を実現 Malicious flows Internet Analyzers Dark IPs/net . mirror Grey flows delay queue Programmable Switch drop if connection established Non-monitoring class 管理者側で除外したいホストや明示的に正常と見なすホストを登録 Excluding hosts Overview of the flow class allocation Legitimate hosts to local area network Switch

提案システムの構成 (Policy-based Forwarding) Sensor A VLAN Trunk Sensor B Policy based Classification Forwarding Table Switch Honeypot A Forwarder Policy Policy example dest x.x.x.x/y => Sensor A daddr:X and dport:445 => Honeypot A dport:139 => Honeypot B Honeypot B Overview of the policy based forwarding

提案システムの ソフトウェア実装

Forwarder Implementation ポート・ミラーリングを利用 (フロースイッチの代替) Forwarder Local Area Network delete packet assign VLAN tag (d) (a) Active Host Monitoring input process (b) Delay Queue delete flow forwarding mirroring IPTables NIC NIC gateway NIC Internet (c) output process forwarding table Analyzers Linux server データプレーン、コントロールプレーンをすべてLinuxのnetfilter上に実装

Honeypot / Sensor Wrapper Implementation logging process NIC iptables honeypot virtual interfaces ○ ○○○ input process create honeypot process NIC iptables 1) syn パケットの宛先IPアドレスを持つ仮想インターフェイスを生成 2) ハニーポット・プロセスにフォワード →　Unix socket を利用するハニーポットはソフトウェアの変更なしに 　　 送信元を偽装してセッションを確立できる

実証実験

実験環境 大学ゲートウェイに提案システムを設置 評価の観点 トラフィックは昼夜平均300Mbps 2011年7月の数週間にわたり観測 ピーク時は1Gbps超 2011年7月の数週間にわたり観測 大学のすべてのサブネットを観測対象 クラスB (/16, total 65,536 IP addresses) 評価の観点 フローベースの不正パケット検出方式の精度 ActiveなIPアドレスのカバー率 システムの性能評価

大学ネットワークにおける TCP syn/ack パケットの遅延割合 ゲートウェイのトラフィックをモニターして、syn を検出後にsyn/ack を観測するまでの時間を計測 99.997%のフローはsyn/ackパケットが 5sec 未満で到達 syn/ack が遅れたケースでは、 セッションが成立しているか？

syn/ack 遅延セッションにおける コネクション成立数 5sec ではセッション確立フローは無し ただし一部の例外ホスト (Planetlab ノード)を除く

syn/ack 遅延率とsynパケット保持数のトレードオフ評価 no established session is located better 遅延キューのタイムアウト (forward delay: T sec) が長すぎと… ・ キューに貯まる synパケットが増え、メモリを消費 ・ ハニーポットの場合、TCPタイムアウトによりセッションが確立しない恐れ → 以上を総合的に判断して遅延キューのタイムアウト (T) を5 sec に設定

ネットワーク脅威検出に 利用可能なIPアドレスの個数 multi-dimensional conventional darknet syn/ack を応答しないポートが少なくとも1つ以上存在するIPアドレスをカウント パケットを発信していない、 inactiveと推定されるIPアドレスをカウント (Darknet方式 / Virtual Dark IP address 方式) → Active なホストが多く存在するネットワークにおいて、　　　　　　　　 　　モニタリング対象のIPアドレスを大幅に拡張することに成功

メモリ使用率の評価 大学のIPv4アドレス空間(/16) 全体を監視する場合でも高々7MByteのメモリ消費 delay queue 大学のIPv4アドレス空間(/16) 全体を監視する場合でも高々7MByteのメモリ消費 メモリ消費量は、その時点におけるコネクション数に依存 IPv6等の広いアドレス空間をわずかなサーバ資源で観測可能

まとめ フローベースの不正パケット攻撃検出システムを提案 プログラマブル・フロースイッチと連携したポリシーにより、観 測網の展開をより柔軟に ActiveなIPアドレスに対する攻撃を観測できるため、IPアドレス利用率の 高い企業・大学のネットワークでも幅広くセンサ、ハニーポットを展開 IPアドレスリストを保持する必要がなく、IPv6等の広いアドレス空間も少 ないリソースで観測できる プログラマブル・フロースイッチと連携したポリシーにより、観 測網の展開をより柔軟に 従来のDarknetと併用することで、互いの長所を活かした観測を実現 Flow Classの定義により、観測対象のスコープに含める、または除外す るネットワークを指定できる