戦略的情報通信研究開発推進制度(SCOPE) 仮想センサによる インターネット広域脅威検知技術の研究開発 2009年3月10日 後藤滋樹 村瀬一郎 鈴木裕信 早稲田大学 理工学術院
内容 背景と目的 研究開発の概要 技術的・学術的な知見向上 目標、計画 予算計画、実施体制 イノベーション促進 総務省が示す政策との整合性 ICT安心・安全の確保 競争的資金による優れた研究の継続
・ 背景と目的 仮想センサに基く新しい広域脅威観測技術 ボットネットの攻撃手法の巧妙化、高速な進化 攻撃を迅速かつ高精度で検出 世界規模の広域観測が不可欠 IPv6の進展により、観測空間が広大になる 物理センサは台数に制約あり、新たな観測手法が必要 エネルギー消費、機器コスト、メンテナンスコストの増大 観測IPアドレスの確保が困難 ユビキタスネットワーク、モバイル機器の普及 動的ネットワーク環境でシームレスな観測が必要 仮想センサに基く新しい広域脅威観測技術
従来手法との比較 従来は物理センサを利用 本提案は仮想センサ 従来の脅威観測法 本提案による新しい脅威観測法 IPv6 従来は物理センサを利用 本提案は仮想センサ 従来の脅威観測法 本提案による新しい脅威観測法 IPv6 末端IPアドレスで観測 中継ルータで観測 ユビキタス・モバイル インターネット インターネット ユビキタスネットワーク 社会への移行 クライアントPC ・・・ ・・・ 中核ルータ モバイル 未観測 情報家電 攻撃元 (ボット、ワーム等) 攻撃元 (ボット、ワーム等) 物理センサ (数十台程度) 存在しないホスト 仮想センサ (60,000台以上相当) 物理リソースの制約 IPアドレス確保の困難 センサの偏り モバイル非対応 物理リソースの制約無し IPアドレス確保が不要 広域観測観測 モバイル・ユビキタスシームレス
・ 研究開発の概要 インターネット上の中継ルータにおけるネットワークフローを解析することにより、ワームやボットなどの攻撃を広大なIPアドレス空間において検知する技術を開発する。従来の観測法では末端のIPアドレスにおける物理的な観測センサを設置するため、観測範囲に制約があった。提案技術 (仮想センサ)は、末端IPアドレスに物理的なセンサを用いる必要が無い。この特徴を活かして、将来の広大なIPv6アドレス空間においても、モバイル機器などが混在するユビキタスネットワークに対して、シームレスで広域的な脅威検知が可能になる。
仮想センサによるインターネット広域脅威検知技術の研究開発 研究内容説明図 [様式3] 仮想センサによるインターネット広域脅威検知技術の研究開発 研究目的 インターネット上の中核ルータにおけるネットワークフローデータを解析することにより、従来の物理センサでは実現困難な広域のIPアドレス空間における不正パケットを検出し、その分布の変化からインターネット上の脅威を早期に検知する技術を開発する。 研究開発の概要 中核ルータのネットワークフローデータで観測される送受信関係の時間推移を状態遷移システムを用いて解析し、大規模な仮想的なインターネット脅威検知センサ網を構成する。検知された脅威情報に基づく、不正なトラフィックの遮断、ゼロデイ攻撃の対象となるソフトウェア脆弱性の発見抽出のための支援情報を提供する。 IPv6 広域観測 ユビキタス・モバイル環境 のシームレス観測 中継ルータで観測 期待される研究成果 少ないリソースで、広域的な仮想センサ網を構築し、インターネット上の脅威を早期に検知する。 社会的意義 IPv6をベースとするユビキタスネットワーク社会において、従来の物理観測センサでは実現が困難とされていた広域のインターネット脅威観測システムを構築し、深刻なネットワーク被害を未然に防ぐための基盤が確立される。 クライアントPC インターネット ・・・ モバイル 中継ルータ ・・・ 情報家電 確率状態遷移システム 仮想センサ網 の構築 存在しないホスト 攻撃元 (ボット、ワーム等) 仮想センサ (50,000台以上相当) 観測アドレスの 確保が不要
研究開発目標 達成方法 中継ルータにおけるNetFlowデータに対して、確率的状態遷移システムに基く解析を適用し、仮想センサの抽出、不正パケットの検出を行う(広域仮想脅威検知技術 ) 同様の技術を組織のゲートウェイに適用し、局所的な高精度脅威検知技術を実現 広域仮想脅威検知技術 と局所高精度脅威検知技術を統合し、広域かつ高精度の脅威検知技術を実現する
仮想センサ検出 状態遷移 フロー観測 送信先IP 未判定ホスト 仮想センサ 候補 タイマTS1 送信元IP 無応答N回 リミットタイムTR 攻撃M回 リミットタイムTR 送信元IP タイマTS2 ライフタイムTL 送信ホスト 仮想センサ 仮想センサ へ送信 送信元IP 仮想センサ へ送信 タイマTS3 攻撃ホスト 仮想センサー、仮想センサー候補から攻撃ホストへの状態遷移あり
広域観測と局所観測 中継ルータが観測するフローは非対称かもしれない ゲートウェイ 局所観測 (全フローデータ) 中継ルータ 組織LAN (サンプリングデータ) 不正なホスト 非対称経路 中継ルータが観測するフローは非対称かもしれない
具体的な観測対象 広域観測と局所観測 SINET APANネットワーク 広域観測 (サンプリングデータ) ゲートウェイ 局所観測 (全フローデータ) 中継ルータ 早稲田大学LAN 不正なホスト SINET 非対称経路
広域と局所高精度脅威検知技術の関係 双方の優位な情報を共有する 広域脅威検知 広域の全体像を把握 (IPアドレス空間) 局所的な正確な状況把握 高精度な仮想センサ情報 局所高精度 脅威検知 広域的な攻撃元の情報 サンプリングデータ解析 全フローデータ解析 ノイズが多い ノイズが少ない
1.技術的・学術的な貢献 新規性・革新性等: 従来の物理センサーによる脅威観測に対して、中継ルータのネットワークフロー解析により、仮想的に脅威観測を行うことで、以下の効果をもたらす: 物理センサ資源に制限されない広大なIP空間の観測が可能 ユビキタス・モバイル環境における動的なネットワークの観測が可能 末端の物理センサを除去することで、大幅な省エネルギー効果が得られ環境保護に貢献 情報通信技術の発展への貢献: 世界規模の広域で大規模なインターネット上の不正パケットデータを蓄積することが可能となり、脅威検知技術の研究開発を促進する。 トラフィック解析技術の向上により、QoS、ネットワーク構成の最適化などの研究開発を促進する。 IETF国際標準IPFIX(RFC 3955標準)に基く汎用なフローデータ形式から、異常系および正常系のフローを分離する技術を提供することで、トラフィック解析の研究開発のための共通基盤を確立する。
2.目標・計画 仮想センサにより60,000IPアドレス以上の広域観測を達成。 予備実験により、同程度の観測が可能である見通しが立っている。 局所脅威検知技術において組織内の高精度脅威観測を64IPアドレス程度について達成。 根拠:早稲田大学のIPアドレス空間は、クラスBの65,536アドレスである。実際に割り当てられているアドレスはこれより少ないが、この空間全体の1/100程度のアドレスについて高精度の脅威観測ができれば、そこで観測された不正パケットの送信元IPアドレスから、広域脅威観測の精度向上に有効と考えられる。
3.予算計画、実施体制 予算 研究機材をリース 研究補助員 ダークファイバを利用(早稲田大学=大手町) 国際会議への参加 ソフトウェアを外注 実施体制 早稲田大学 理工学術院 基幹理工学部 早稲田大学 理工学術院 総合研究所(理工学研究所)
4.イノベーション促進 仮想センサの実用化に際して、攻撃ホストの判定精度を高めることが重要。本提案では、要素技術における「状態遷移システム」を拡張し、「攻撃ホスト」を判定する状態を追加する。 拡張した脅威検知技術を、実際の国際規模のネットワーク・テストベッド(APAN, JGN2plusを含む)および早稲田大学の構内ネットワークに適用し、広域脅威検知技術および局所高精度仮想観測技術の実証実験を行う 日本の全上場企業について、インシデントによる情報漏洩等の潜在的な損害リスクの総額は29兆円 と見積もられている。本技術の実用化により、Symantec, LAC, CA等が運営するセキュリティ・オペレーション・センター(SOC)や、政府機関・民間企業が設置するインシデント・レスポンス・チーム(CSIRT)等のセキュリティ対策機関における利用が見込まれる。本技術により、インターネット上の観測できるアドレス空間は、数十程度から数万程度へと1000倍程度の飛躍的な拡大が可能となり、脅威発生時のトラフィック遮断や感染ホストへのパッチ適用など早期に実施できる。 仮想センサの実用化により、インシデントの発生リスクの低減されることで、eコマースの拡大にも寄与する。日本のB2Cビジネスの市場規模は4兆4000億円 とされている。本技術の普及により、インターネット上の脅威低減によりeコマース市場は2割程度押し上げることが期待される。
サイバー攻撃を検知して、以後に発生する本格的なサイバー攻撃を予知する技術の確立 5.総務省の政策との整合性 UNS 研究開発戦略プログラムII 5.セキュアネットワーク 5-2 ネットワーク運用管理技術 UNS 研究開発戦略プログラムII 本研究開発の関連領域 サイバー攻撃を検知して、以後に発生する本格的なサイバー攻撃を予知する技術の確立
UNS戦略プログラムⅡ 「ICT研究開発戦略~UNS戦略プログラムⅡ」 総務省 情報通信国際戦略局 2008年8月 http://www.kiai.gr.jp/PDF/soukai2008/kodama_d0711.pdf 研究開発を支えていく人材の育成・活用 新たな事業分野の創出を主導できるような研究開発人材(ITイノベーションリーダ)の育成 本提案に先立つSCOPE課題での実績 石黒正揮(学位取得, 北陸先端大学院大学) 下田晃弘(修士1年から飛び級で博士課程, 早稲田大学)
UNS戦略プログラム:人材 Masaki Ishiguro, Hironobu Suzuki, Ichiro Murase, Hiroyuki Ohno, Internet Threat Detection System Using Bayesian Estimation, 16th Annual FIRST Conference on Computer Security Incident Handling, 2004. 石黒 正揮, 鈴木 裕信, 村瀬 一郎, "ウェーブレット解析を用いた周波数成分変化に基づくインターネット脅威検出法”, 暗号と情報セキュリティシンポジウム2006. 石黒 正揮, 鈴木 裕信, 村瀬 一郎, 篠田 陽一, インターネット上の脅威分析を支援する空間および時間的な特徴量に基づく分析手法, 情報処理学会論文誌 Vol.48, Number 9, pp.3148-3162, Sep. 2007. Masaki Ishiguro, Hironobu Suzuki, Yoichi Shinoda, Ichiro Murase, Shigeki Goto, An Internet Threat Evaluation Method based on Access Graph of Malicious Packets, 19th Annual FIRST Security Conference, 2007 Akihiro Shimoda, Shigeki Goto, Virtual Dark IP for Internet Threat Detection, In Proceedings of APAN Network Research Workshop 2007, pp.17-24, Aug. 2007. 下田晃弘, 後藤滋樹, フローデータからのDark IP 抽出による脅威観測法、電子情報通信学会論文誌, Vol.J92-B, No.1, pp.163--173, 2009年1月.
6.ICT安心・安全技術 ワーム、ボットネットなど、インターネット上の深刻な脅威を検出し、ネットワークのブロック、脆弱性対策を促すことで、インターネットの安全性を向上させる
7.競争的資金による研究の継続 科学技術振興調整費(文部科学省) 平成16~18年度 「セキュリティ情報の分析と共有システムの開発」 経済産業省 新世代情報セキュリティ研究開発事業 平成17~18年度 「アクセスグラフに基づくボットネット検出技術の研究開発」 総務省 SCOPE 次世代ネットワーク技術 平成17~19年度 「インターネット広域観測による次世代攻撃検知技術に関する研究開発」(物理センサ)
補足資料
従来の物理センサ インターネット 物理センサ 攻撃元 物理センサ 攻撃元 攻撃元 物理センサ インバウンド・パケットは全通過 不正な通信パケット 観測専用 攻撃元 応答無し ファイアーウォール アウトバウンド・パケットは全遮断 従来の物理センサ (Dark IP)
仮想センサ ネットワークサーバ 正常な通信パケット 正常な通信元 中継ルータ(観測点) サービスを提供しないホスト (クライアントPCなど) 不正な通信パケット (リクエストに対する応答無し) ワーム、攻撃元ホスト、 設定に不備のあるホスト など 実在しないホスト 仮想センサ
TCP/IPコネクション確立 クライアント サーバ INIT ①syn LISTEN ② syn + ack SYN SENT SYN RECVD ③ ack ESTABLISHED セッション通信 ④ fin ESTABLISHED FIN WAIT ⑤ ack CLOSING CLOSED CLOSED 状態遷移 パケットフラグ 状態遷移