C11: 不正アクセスパケットの可視化 シャボン 菊池研 松谷亜紀
不正アクセスパケットとは スキャン 近年、ワームやボットの感染や,DDoS やポートスキャンなどより、それらを経由した不正アクセスが増加している。 今回はインターネットを介して、不正にアクセスするものを不正アクセスと呼ぶ。
インターネット観測システム JPCERTの定点観測システム「ISDAS」 ワームの感染活動や弱点探索のためのスキャンなど、セキュリティ上の脅威となるトラフィックの観測を行なっている インターネットから到達するパケットのうち TCP、UDP および ICMP パケットを記録 ■ISDAS Internet Scan Data Acquisition System ワームの感染活動や弱点探索のためのスキャンなど、セキュリティ上の脅威となるトラフィックの観測を行なっている。 ■センサ ISDAS で設置しているセンサーは IX の近傍や xDSL のエッジ等様々なアドレスブロックに分散配置される インターネットから到達するパケットのうち TCP、UDP および ICMP パケットを記録
不正パケットの定点観測 センサ パケットの情報を記録(ログデータ) センサはネットワークサービスを提供しない。 なので、外部から正規のネットワークサービスを目的としたアクセスが来ることは無いため、 ネットワークサービスを提供しないIP アドレスに届くパケットを不正アクセスパケットと呼ぶ。 センサはインターネット上の複数のアドレスブロックに設置されており、届けられたパケットに対して応答をしない。 観測された不正パケットデータを集約管理しているログデータサーバに送ることによって、ログデータとして書き込んでいる パケットの情報を記録(ログデータ) 20080401,00:00:04,JST,sensor2,TCP,219.109.114.43,31475,135 20080401,00:00:41,JST,sensor31,TCP,210.171.219.91,28970,139
約5分間に届いたパケット 20080401,00:00:04,JST,sensor2,TCP,219.109.114.43,31475,135 20080401,00:00:41,JST,sensor31,TCP,210.171.219.91,28970,139 20080401,00:00:54,JST,sensor3,TCP,121.115.135.249,37682,135 20080401,00:01:03,JST,sensor33,UDP,202.97.238.226,54747,1026 20080401,00:01:06,JST,sensor33,TCP,60.44.172.77,3335,445 20080401,00:01:09,JST,sensor47,ICMP,61.157.237.3,-,- 20080401,00:01:09,JST,sensor47,TCP,61.157.237.3,1405,3389 20080401,00:01:21,JST,sensor33,UDP,221.208.208.212,56885,1026 20080401,00:01:23,JST,sensor19,TCP,59.147.237.102,10952,135 20080401,00:02:21,JST,sensor19,TCP,125.65.112.235,6000,135 20080401,00:02:55,JST,sensor33,TCP,60.44.172.77,2719,445 20080401,00:02:58,JST,sensor2,TCP,219.111.113.195,4229,135 20080401,00:02:58,JST,sensor33,TCP,60.44.210.198,49700,445 20080401,00:03:01,JST,sensor43,ICMP,84.113.139.81,-,- 20080401,00:03:02,JST,sensor43,ICMP,84.113.139.81,-,- 20080401,00:03:03,JST,sensor19,ICMP,59.149.179.87,-,- 20080401,00:03:24,JST,sensor14,TCP,219.167.68.171,7971,135 20080401,00:03:34,JST,sensor31,TCP,210.171.219.91,28970,445 20080401,00:03:44,JST,sensor14,TCP,219.167.124.129,1052,135 20080401,00:03:56,JST,sensor25,TCP,125.65.112.235,6000,135 20080401,00:04:03,JST,sensor3,TCP,121.115.128.128,2971,6101 20080401,00:04:44,JST,sensor20,TCP,60.14.100.55,6000,2967
定点観測の問題点 研究の目的 膨大なログデータから特徴を調べる 文字の羅列である為,特徴を見落とし易い 特定の送信元IPアドレスが,複数の受信先センサにパケットを走査して送る不正アクセスパケットのスキャンを可視化すること
本研究の独自性: 何故、シャボン玉か? シャボン玉には様々な特徴がある 大きさ、形 色 飛び方 飛ぶ速度
Java3D Java向けの三次元グラフィックス拡張API Java3Dを用いることによって空間的に可視化することができる 今回はシャボン玉の飛ぶ様子をアニメーション機能を使って可視化 http://java3d-eclipse.sourceforge.net/
実行画面 ポート番号 ポート番号 (Max 65535) センサ番号 IPアドレス (Max 255)
結論 不正アクセスパケットが発信され,到着する様子を可視化することができた ・偏ったポート,IPアドレスへのアクセスへ飛ぶ様子を可視化できた 今後の課題 実際の到着時間に対応した時間間隔で飛ぶこと 複数のパケット飛ぶ可視化にすること
御清聴ありがとうございました
アクセスの多いポートTOP5 no port(番号) 受信個数 1 135 83535 2 1026 14515 3 445 14363 4 2008.0401~2008.0431(264970個のデータ)より no port(番号) 受信個数 1 135 83535 2 1026 14515 3 445 14363 4 1433 9274 5 139 9099 表1:アクセス数の多いポート(センサ側)