C11: 不正アクセスパケットの可視化 シャボン

Slides:



Advertisements
Similar presentations
Iptables の設定と 動作確認方法 野口 哲. 1. はじめに 近年では、ウイルスなどでネットワーク 上の 近年では、ウイルスなどでネットワーク 上の 危険が非常に多くなっている。また、個人 情報 などを入手するために不正に他人のパソコ ンに 侵入する人なども増えている。本研究では、 このような被害を受けないようにするため.
Advertisements

TCP/IP によるチャットプログラ ム 薄井 秀晃. 基礎知識編 TCP/IP とは? IP とは・・・ Internet Protocol の略称であり通信方法の技術的なルールで あり、実際にデータを送受信する前にデータを小さなデータ に分割し、それに発信元と受信先の IP アドレスを付加させて.
第1章 ネットワークとコミュニケーション 第2節 ネットワークのしくみ 2 ネットワークを支える技術 (教科書 p36 ~ p37) 今日の用語  モデム (modulator/demodulator:modem)  IP アドレス (internet protocol address)  ドメインネーム.
TCP / IP の基礎 ネットワーク管理者入門. インターネットを支える技術 ISO の 7 階層プロトコルと TCP / IP の実装 階層機能関連する TCP / IP プロ トコル アプリケーション層電子メールやファイルの転送 といった、具体的なアプリ ケーションが使用する規約 TELNET.
ご提案書 『ホテル インターネットサービスソリューション』
Step.5 パケットダンプ Wiresharkでパケットをキャプチャする PC 1 PC 2 PC 3 PC 4 ネットワーク
インターネットの仕組み 例) Web閲覧 インターネット サーバ リクエスト データ 携帯電話 一般家庭 インターネットサービス
第1回.
ラウンドトリップタイムを指標とした 無線LAN のためのアクセスポイント選択手法
仮想ブロードキャストリンクを利用した 片方向通信路の透過的経路制御 藤枝 俊輔(慶應義塾大学)
ISDASインターネット分散観測: ワームの平均寿命はいくらか?
Zeusの動作解析 S08a1053 橋本 寛史.
ネットワーク層.
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
神奈川大学大学院工学研究科 電気電子情報工学専攻
CGI Programming and Web Security
TCP (Transmission Control Protocol)
ネットワーク検知技術の最適化への ハイブリッド・アプローチ
早稲田大学大学院 理工学研究科情報科学専攻 後藤滋樹研究室 1年 渡辺裕太
「コンピュータと情報システム」 07章 インターネットとセキュリティ
30分でわかるTCP/IPの基礎 ~インターネットの標準プロトコル~ 所属: 法政大学 情報科学研究科 馬研究室 氏名: 川島友美
ネットワーク コミュニケーション トランスポート層 TCP/UDP 6/28/07.
コンピュータとネットワークのしくみ 情報通信ネットワークのしくみ.
輪講: 詳解TCP/IP ACE B3 suzuk.
トランスポート層.
ま と め と 補 足 ネットワークシステムⅠ 第15回.
IPv6アドレスによる RFIDシステム利用方式
サーバ負荷分散におけるOpenFlowを用いた省電力法
セキュリティ(5) 05A2013 大川内 斉.
Linux リテラシ 2006 第4回 ネットワーク CIS RAT.
第11章 UDPユーザ・データグラム・プロトコル
TCP/UDP プロセス間の通信のためのプロトコル TCP:信頼性高、処理時間大 UDP:信頼性低、処理時間小 ftp SMTP HTTP
DNSトラフィックに着目したボット検出手法の検討
インターネットの基礎知識 その3 ~TCP・UDP層編~
7. セキュリティネットワーク (ファイアウォール)
パケットキャプチャーから感染種類を判定する発見的手法について
早稲田大学大学院 理工学研究科情報科学専攻 後藤研究室 修士1年 荒井 祐一
サイバーセキュリティ バッファオーバフロー
ネットワーク技術II 第9.1課 TCP/IPプロトコルスイート
ソケットプログラム(TCP,UDP) EasyChat開発2
セキュリティ 05A2013 大川内 斉.
セキュリティ(2) 05A2013 大川内 斉.
各種ルータに対応する P2P通信環境に関する研究
ネットワークプログラミング (5回目) 05A1302 円田 優輝.
第16章 BOOTP:ブートストラップ・プロトコル
Cisco Configuration Professional Express 3.3 アップデート
A18 スパムサーバの調査 ~ボットを見抜けるか?~
DNSクエリーパターンを用いたOSの推定
Minecraft: Education Edition インターネット経由で共同活動する方法 HW-02G編
マルウェアの通信履歴と 定点観測の相関について
3次元Nクイーン問題の 解の存在の検証 07-1-037-0106 前波 大貴 情報論理工学研究室 宜しくお願いします。
不完全な定点観測から 真の不正ホストの分布が分かるか?
ウィルスって どの位感染しているのかな? 菊池研究室  小堀智弘.
後藤滋樹研究室の紹介 現在のインターネットの課題 敵を知り、己を知れば、百戦危うからず(孫子) 1
ICMPを用いた侵入検知システムの負荷軽減
不正アクセスパケットの地図上での可視化 菊池研究室 畠山俊樹.
IDSとFirewallの連携によるネットワーク構築
1999年度 卒業論文 UDPパケットの最適な送信間隔の検討 早稲田大学理工学部情報学科 G96P026-4 小川裕二.
携帯端末向けの海洋情報 モニタリングシステム
◎小堀 智弘,菊池 浩明(東海大学大学院) 寺田 真敏(日立製作所)
分散ハニーポット観測からのダウンロードサーバ間の相関ルール抽出
ウィルスの感染先探索活動を可視化するツール“PacketViewer”の開発
4.3 IPとルーティングテーブル 国際産業情報学科 2年 大竹 雅子.
異種セグメント端末による 分散型仮想LAN構築機構の設計と実装
迷惑メールは発信時刻を偽るか? 菊池研究室 鈴木 孝彰 水沼 暁.
ネットワークプログラミング 05A1302 円田 優輝.
7月13日の演習問題・解答例 について ネットワーク長が 18、22、26、28 の場合の
分散ハニーポット観測からのダウンロードサーバ間の相関ルール抽出
TCP/IPの通信手順 (tcpdump)
プロトコル番号 長野 英彦.
Presentation transcript:

C11: 不正アクセスパケットの可視化 シャボン 菊池研 松谷亜紀

不正アクセスパケットとは スキャン 近年、ワームやボットの感染や,DDoS やポートスキャンなどより、それらを経由した不正アクセスが増加している。 今回はインターネットを介して、不正にアクセスするものを不正アクセスと呼ぶ。

インターネット観測システム JPCERTの定点観測システム「ISDAS」 ワームの感染活動や弱点探索のためのスキャンなど、セキュリティ上の脅威となるトラフィックの観測を行なっている インターネットから到達するパケットのうち TCP、UDP および ICMP パケットを記録 ■ISDAS Internet Scan Data Acquisition System ワームの感染活動や弱点探索のためのスキャンなど、セキュリティ上の脅威となるトラフィックの観測を行なっている。 ■センサ ISDAS で設置しているセンサーは IX の近傍や xDSL のエッジ等様々なアドレスブロックに分散配置される インターネットから到達するパケットのうち TCP、UDP および ICMP パケットを記録

不正パケットの定点観測 センサ パケットの情報を記録(ログデータ) センサはネットワークサービスを提供しない。 なので、外部から正規のネットワークサービスを目的としたアクセスが来ることは無いため、 ネットワークサービスを提供しないIP アドレスに届くパケットを不正アクセスパケットと呼ぶ。 センサはインターネット上の複数のアドレスブロックに設置されており、届けられたパケットに対して応答をしない。 観測された不正パケットデータを集約管理しているログデータサーバに送ることによって、ログデータとして書き込んでいる パケットの情報を記録(ログデータ) 20080401,00:00:04,JST,sensor2,TCP,219.109.114.43,31475,135 20080401,00:00:41,JST,sensor31,TCP,210.171.219.91,28970,139

約5分間に届いたパケット 20080401,00:00:04,JST,sensor2,TCP,219.109.114.43,31475,135 20080401,00:00:41,JST,sensor31,TCP,210.171.219.91,28970,139 20080401,00:00:54,JST,sensor3,TCP,121.115.135.249,37682,135 20080401,00:01:03,JST,sensor33,UDP,202.97.238.226,54747,1026 20080401,00:01:06,JST,sensor33,TCP,60.44.172.77,3335,445 20080401,00:01:09,JST,sensor47,ICMP,61.157.237.3,-,- 20080401,00:01:09,JST,sensor47,TCP,61.157.237.3,1405,3389 20080401,00:01:21,JST,sensor33,UDP,221.208.208.212,56885,1026 20080401,00:01:23,JST,sensor19,TCP,59.147.237.102,10952,135 20080401,00:02:21,JST,sensor19,TCP,125.65.112.235,6000,135 20080401,00:02:55,JST,sensor33,TCP,60.44.172.77,2719,445 20080401,00:02:58,JST,sensor2,TCP,219.111.113.195,4229,135 20080401,00:02:58,JST,sensor33,TCP,60.44.210.198,49700,445 20080401,00:03:01,JST,sensor43,ICMP,84.113.139.81,-,- 20080401,00:03:02,JST,sensor43,ICMP,84.113.139.81,-,- 20080401,00:03:03,JST,sensor19,ICMP,59.149.179.87,-,- 20080401,00:03:24,JST,sensor14,TCP,219.167.68.171,7971,135 20080401,00:03:34,JST,sensor31,TCP,210.171.219.91,28970,445 20080401,00:03:44,JST,sensor14,TCP,219.167.124.129,1052,135 20080401,00:03:56,JST,sensor25,TCP,125.65.112.235,6000,135 20080401,00:04:03,JST,sensor3,TCP,121.115.128.128,2971,6101 20080401,00:04:44,JST,sensor20,TCP,60.14.100.55,6000,2967

定点観測の問題点 研究の目的 膨大なログデータから特徴を調べる 文字の羅列である為,特徴を見落とし易い 特定の送信元IPアドレスが,複数の受信先センサにパケットを走査して送る不正アクセスパケットのスキャンを可視化すること

本研究の独自性: 何故、シャボン玉か? シャボン玉には様々な特徴がある 大きさ、形 色 飛び方 飛ぶ速度

Java3D Java向けの三次元グラフィックス拡張API Java3Dを用いることによって空間的に可視化することができる 今回はシャボン玉の飛ぶ様子をアニメーション機能を使って可視化 http://java3d-eclipse.sourceforge.net/

実行画面 ポート番号 ポート番号 (Max 65535) センサ番号 IPアドレス (Max 255)

結論 不正アクセスパケットが発信され,到着する様子を可視化することができた ・偏ったポート,IPアドレスへのアクセスへ飛ぶ様子を可視化できた 今後の課題 実際の到着時間に対応した時間間隔で飛ぶこと 複数のパケット飛ぶ可視化にすること

御清聴ありがとうございました

アクセスの多いポートTOP5 no port(番号) 受信個数 1 135 83535 2 1026 14515 3 445 14363 4 2008.0401~2008.0431(264970個のデータ)より no port(番号) 受信個数 1 135 83535 2 1026 14515 3 445 14363 4 1433 9274 5 139 9099 表1:アクセス数の多いポート(センサ側)