戦略的情報通信研究開発推進制度(SCOPE) 仮想センサによる インターネット広域脅威検知技術の研究開発

Slides:



Advertisements
Similar presentations
生体情報を利用したオンライン認証システムに関する研 究 情報工学科 大山・山口・小尾研究室 学士課程4年田中 丈登.
Advertisements

平成27年度SCOPE(重点領域型研究開発(先進的通信アプリケーション開発型)) 研究開発課題 ○○の研究開発
早稲田大学理工学部情報学科 後藤滋樹研究室
クラスタ分析手法を用いた新しい 侵入検知システムの構築
受動的攻撃について Eiji James Yoshida penetration technique research site
IGD Working Committee Update
ここに若林の絵が入る Ⅰ 従来型サービスの課題 Ⅴ Solaris基盤ヘルスチェックサービス ●従来型サービス Ⅱ 新サービスの概要
平成28年度SCOPE(重点領域型研究開発(先進的通信アプリケーション開発型)) 研究開発課題 ○○の研究開発
(新エネルギー等の導入・普及に当たっての評価方法や基準への適合性評価の課題)
リスク評価 ・管理技術開発 有害性評価手法 暴露評価手法 リスク評価手法 リスク管理手法 化学物質総合管理分野のロードマップ(1) (目標)
神奈川大学大学院工学研究科 電気電子情報工学専攻
早稲田大学大学院 理工学研究科情報科学専攻 後藤滋樹研究室 1年 渡辺裕太
第二期受付(※) 平成21年9月頃(予定)(※)採択できる予算がある場合
NEC-早大技術交流会 OpenFlowスイッチによる広域通信の効率的集約法
標準空間情報の整備及び 異種データベース間のデータ交換手法 に関する研究開発
i-Pathルータのフロー情報を用いたDoS攻撃検知法
第13回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
Ⅲ.サービス開発の方法.
情報ネットワーク論 最終回 動的ルーティング実験デモ ネットワークの構築・管理 遠隔?講義.
PlanetLab における 効率的な近隣サーバ選択法
ネストした仮想化を用いた VMの安全な帯域外リモート管理
仮想センサによる 広域ネットワーク脅威検出法
IPv6アドレスによる RFIDシステム利用方式
サーバ負荷分散におけるOpenFlowを用いた省電力法
東京大学空間情報科学研究センターを 中心とした空間情報データベースの整備
大阪大学 大学院情報科学研究科 博士前期課程2年 宮原研究室 土居 聡
7. セキュリティネットワーク (ファイアウォール)
i-Pathルータのフロー情報を用いたDoS攻撃検知法
分散IDSの実行環境の分離 による安全性の向上
2009年度卒業論文発表 CDNコンテンツサーバの動的負荷分散
インターネットにおける真に プライベートなネットワークの構築
マルチホーミングを利用した Proxy Mobile IPv6の ハンドオーバー
平成29年度 WPI新規拠点公募のポイント (採択数・支援規模・ホスト機関の要件 等) (研究領域) (ミッション) (その他) 1
○○○○○○○○○○○○○○○○○○ の要素技術開発
戦略的情報通信研究開発推進制度(SCOPE) 仮想センサによる インターネット広域脅威検知技術の研究開発
最先端ICT都市の実現に向け、「ICTの徹底活用」と「ICTの適正利用」を基本に取組をすすめます
平成27年度SCOPE(重点領域型研究開発(スマートネットワークロボット)) 研究開発課題 ○○の研究開発
大阪バイオ戦略2017のポイント 重点取組 主な取組 オール大阪で事業推進 規制改革 治験促進
DNSクエリーパターンを用いたOSの推定
平成26年度先進的通信アプリケーション開発推進型研究開発(新規提案課題) 開発課題 ○○の開発
TCP制御フラグの解析による ネットワーク負荷の推測
Intel SGXを用いた仮想マシンの 安全な監視機構
軽量な仮想マシンを用いたIoT機器の安全な監視
片方向通信路を含む ネットワークアーキテクチャに於ける 動的な仮想リンク制御機構の設計と実装
背景 課題 目的 手法 作業 期待 成果 有限体積法による汎用CFDにおける 流体構造連成解析ソルバーの計算効率の検証
C11: 不正アクセスパケットの可視化 シャボン
不完全な定点観測から 真の不正ホストの分布が分かるか?
戦略的情報通信研究開発推進制度(SCOPE) 仮想センサによる インターネット広域脅威検知技術の研究開発
生活支援 中央研修 H26.9.4(木)~5(金) 品川フロントビル会議室 H26.9.6(土)~7(日) JA共済ビルカンファレンスホール
後藤滋樹研究室の紹介 現在のインターネットの課題 敵を知り、己を知れば、百戦危うからず(孫子) 1
ICMPを用いた侵入検知システムの負荷軽減
コミュニケーションと ネットワークを探索する
(新エネルギー等の導入・普及に当たっての評価方法や基準への適合性評価の課題)
P2P ネットワーク上で 実時間ストリーミングを実現するための 分散制御プロトコルの提案
仮想環境を用いた 侵入検知システムの安全な構成法
端末・エッジ・クラウド連携の三位一体による 「考えるネットワーク」の研究
地方公共団体オープンデータ推進ガイドラインの概要
1業務の実施方針等に関する事項 【1.1事業実施の基本方針、業務内容等】
トラフィックプロファイラAGURIの設計と実装
平成21年度「新世代ネットワークサービス基盤構築技術に関する研究開発 〜ネットワーク『見える化』の実現にむけて〜」の開発成果について
研究開発名称 (対象とする技術のイラストや図) 提案者:○○株式会社 研究開発の概要 概算経費
地方創生に向けた自治体SDGs推進事業 平成30年度予算案5億円(平成30年度からの新規事業) 実施期間:平成30年度~(新規)
1. サイバー攻撃の予兆となる社会データを収集 2. サイバー脅威を観測し、ビッグデータを形成 3. 異種ビッグデータから攻撃の全体像の解明
L2-Techリストの更新・拡充・情報発信
クラスタリングを用いた ベイズ学習モデルを動的に更新する ソフトウェア障害検知手法
ー提案書ー 平成30年度 インバウンドによるお土産農林水産物・食品の 効率的受取方法の構築に関する実証調査業務 (日付) (企業名)
戦略的情報通信研究開発推進制度(SCOPE) 仮想センサによる インターネット広域脅威検知技術の研究開発
研究開発名称 (対象とする技術のイラストや図) 提案者:○○株式会社 研究開発の概要 概算経費
沖縄における希少作物の産地化及び観光資源化
Presentation transcript:

戦略的情報通信研究開発推進制度(SCOPE) 仮想センサによる インターネット広域脅威検知技術の研究開発 2009年3月10日 後藤滋樹   村瀬一郎   鈴木裕信 早稲田大学 理工学術院

内容 背景と目的 研究開発の概要 技術的・学術的な知見向上 目標、計画 予算計画、実施体制 イノベーション促進 総務省が示す政策との整合性 ICT安心・安全の確保 競争的資金による優れた研究の継続

・ 背景と目的 仮想センサに基く新しい広域脅威観測技術 ボットネットの攻撃手法の巧妙化、高速な進化 攻撃を迅速かつ高精度で検出  世界規模の広域観測が不可欠 IPv6の進展により、観測空間が広大になる 物理センサは台数に制約あり、新たな観測手法が必要 エネルギー消費、機器コスト、メンテナンスコストの増大 観測IPアドレスの確保が困難 ユビキタスネットワーク、モバイル機器の普及  動的ネットワーク環境でシームレスな観測が必要 仮想センサに基く新しい広域脅威観測技術

従来手法との比較 従来は物理センサを利用 本提案は仮想センサ 従来の脅威観測法 本提案による新しい脅威観測法 IPv6 従来は物理センサを利用    本提案は仮想センサ 従来の脅威観測法 本提案による新しい脅威観測法 IPv6 末端IPアドレスで観測 中継ルータで観測 ユビキタス・モバイル インターネット インターネット ユビキタスネットワーク 社会への移行 クライアントPC ・・・ ・・・ 中核ルータ モバイル 未観測 情報家電 攻撃元 (ボット、ワーム等) 攻撃元 (ボット、ワーム等) 物理センサ (数十台程度) 存在しないホスト 仮想センサ (60,000台以上相当) 物理リソースの制約 IPアドレス確保の困難 センサの偏り モバイル非対応 物理リソースの制約無し IPアドレス確保が不要 広域観測観測 モバイル・ユビキタスシームレス

・ 研究開発の概要   インターネット上の中継ルータにおけるネットワークフローを解析することにより、ワームやボットなどの攻撃を広大なIPアドレス空間において検知する技術を開発する。従来の観測法では末端のIPアドレスにおける物理的な観測センサを設置するため、観測範囲に制約があった。提案技術 (仮想センサ)は、末端IPアドレスに物理的なセンサを用いる必要が無い。この特徴を活かして、将来の広大なIPv6アドレス空間においても、モバイル機器などが混在するユビキタスネットワークに対して、シームレスで広域的な脅威検知が可能になる。

仮想センサによるインターネット広域脅威検知技術の研究開発 研究内容説明図                                                            [様式3] 仮想センサによるインターネット広域脅威検知技術の研究開発 研究目的 インターネット上の中核ルータにおけるネットワークフローデータを解析することにより、従来の物理センサでは実現困難な広域のIPアドレス空間における不正パケットを検出し、その分布の変化からインターネット上の脅威を早期に検知する技術を開発する。 研究開発の概要 中核ルータのネットワークフローデータで観測される送受信関係の時間推移を状態遷移システムを用いて解析し、大規模な仮想的なインターネット脅威検知センサ網を構成する。検知された脅威情報に基づく、不正なトラフィックの遮断、ゼロデイ攻撃の対象となるソフトウェア脆弱性の発見抽出のための支援情報を提供する。 IPv6 広域観測 ユビキタス・モバイル環境 のシームレス観測 中継ルータで観測 期待される研究成果 少ないリソースで、広域的な仮想センサ網を構築し、インターネット上の脅威を早期に検知する。 社会的意義 IPv6をベースとするユビキタスネットワーク社会において、従来の物理観測センサでは実現が困難とされていた広域のインターネット脅威観測システムを構築し、深刻なネットワーク被害を未然に防ぐための基盤が確立される。 クライアントPC インターネット ・・・ モバイル 中継ルータ ・・・ 情報家電 確率状態遷移システム 仮想センサ網 の構築 存在しないホスト 攻撃元 (ボット、ワーム等) 仮想センサ (50,000台以上相当) 観測アドレスの 確保が不要

研究開発目標 達成方法 中継ルータにおけるNetFlowデータに対して、確率的状態遷移システムに基く解析を適用し、仮想センサの抽出、不正パケットの検出を行う(広域仮想脅威検知技術 ) 同様の技術を組織のゲートウェイに適用し、局所的な高精度脅威検知技術を実現 広域仮想脅威検知技術 と局所高精度脅威検知技術を統合し、広域かつ高精度の脅威検知技術を実現する

仮想センサ検出 状態遷移 フロー観測 送信先IP 未判定ホスト 仮想センサ 候補 タイマTS1 送信元IP 無応答N回 リミットタイムTR 攻撃M回 リミットタイムTR 送信元IP タイマTS2 ライフタイムTL 送信ホスト 仮想センサ 仮想センサ へ送信 送信元IP 仮想センサ へ送信 タイマTS3 攻撃ホスト 仮想センサー、仮想センサー候補から攻撃ホストへの状態遷移あり

広域観測と局所観測 中継ルータが観測するフローは非対称かもしれない ゲートウェイ 局所観測 (全フローデータ) 中継ルータ 組織LAN (サンプリングデータ) 不正なホスト 非対称経路 中継ルータが観測するフローは非対称かもしれない

具体的な観測対象 広域観測と局所観測 SINET APANネットワーク 広域観測 (サンプリングデータ) ゲートウェイ 局所観測 (全フローデータ) 中継ルータ   早稲田大学LAN 不正なホスト SINET 非対称経路

広域と局所高精度脅威検知技術の関係 双方の優位な情報を共有する 広域脅威検知 広域の全体像を把握 (IPアドレス空間) 局所的な正確な状況把握 高精度な仮想センサ情報 局所高精度 脅威検知 広域的な攻撃元の情報 サンプリングデータ解析 全フローデータ解析 ノイズが多い ノイズが少ない

1.技術的・学術的な貢献 新規性・革新性等: 従来の物理センサーによる脅威観測に対して、中継ルータのネットワークフロー解析により、仮想的に脅威観測を行うことで、以下の効果をもたらす: 物理センサ資源に制限されない広大なIP空間の観測が可能 ユビキタス・モバイル環境における動的なネットワークの観測が可能 末端の物理センサを除去することで、大幅な省エネルギー効果が得られ環境保護に貢献 情報通信技術の発展への貢献: 世界規模の広域で大規模なインターネット上の不正パケットデータを蓄積することが可能となり、脅威検知技術の研究開発を促進する。 トラフィック解析技術の向上により、QoS、ネットワーク構成の最適化などの研究開発を促進する。 IETF国際標準IPFIX(RFC 3955標準)に基く汎用なフローデータ形式から、異常系および正常系のフローを分離する技術を提供することで、トラフィック解析の研究開発のための共通基盤を確立する。

2.目標・計画 仮想センサにより60,000IPアドレス以上の広域観測を達成。 予備実験により、同程度の観測が可能である見通しが立っている。 局所脅威検知技術において組織内の高精度脅威観測を64IPアドレス程度について達成。 根拠:早稲田大学のIPアドレス空間は、クラスBの65,536アドレスである。実際に割り当てられているアドレスはこれより少ないが、この空間全体の1/100程度のアドレスについて高精度の脅威観測ができれば、そこで観測された不正パケットの送信元IPアドレスから、広域脅威観測の精度向上に有効と考えられる。

3.予算計画、実施体制 予算 研究機材をリース 研究補助員 ダークファイバを利用(早稲田大学=大手町) 国際会議への参加 ソフトウェアを外注 実施体制 早稲田大学 理工学術院 基幹理工学部 早稲田大学 理工学術院 総合研究所(理工学研究所)

4.イノベーション促進 仮想センサの実用化に際して、攻撃ホストの判定精度を高めることが重要。本提案では、要素技術における「状態遷移システム」を拡張し、「攻撃ホスト」を判定する状態を追加する。 拡張した脅威検知技術を、実際の国際規模のネットワーク・テストベッド(APAN, JGN2plusを含む)および早稲田大学の構内ネットワークに適用し、広域脅威検知技術および局所高精度仮想観測技術の実証実験を行う 日本の全上場企業について、インシデントによる情報漏洩等の潜在的な損害リスクの総額は29兆円 と見積もられている。本技術の実用化により、Symantec, LAC, CA等が運営するセキュリティ・オペレーション・センター(SOC)や、政府機関・民間企業が設置するインシデント・レスポンス・チーム(CSIRT)等のセキュリティ対策機関における利用が見込まれる。本技術により、インターネット上の観測できるアドレス空間は、数十程度から数万程度へと1000倍程度の飛躍的な拡大が可能となり、脅威発生時のトラフィック遮断や感染ホストへのパッチ適用など早期に実施できる。 仮想センサの実用化により、インシデントの発生リスクの低減されることで、eコマースの拡大にも寄与する。日本のB2Cビジネスの市場規模は4兆4000億円 とされている。本技術の普及により、インターネット上の脅威低減によりeコマース市場は2割程度押し上げることが期待される。

サイバー攻撃を検知して、以後に発生する本格的なサイバー攻撃を予知する技術の確立 5.総務省の政策との整合性 UNS 研究開発戦略プログラムII 5.セキュアネットワーク 5-2 ネットワーク運用管理技術 UNS 研究開発戦略プログラムII 本研究開発の関連領域 サイバー攻撃を検知して、以後に発生する本格的なサイバー攻撃を予知する技術の確立

UNS戦略プログラムⅡ 「ICT研究開発戦略~UNS戦略プログラムⅡ」 総務省 情報通信国際戦略局 2008年8月 http://www.kiai.gr.jp/PDF/soukai2008/kodama_d0711.pdf 研究開発を支えていく人材の育成・活用 新たな事業分野の創出を主導できるような研究開発人材(ITイノベーションリーダ)の育成 本提案に先立つSCOPE課題での実績 石黒正揮(学位取得, 北陸先端大学院大学) 下田晃弘(修士1年から飛び級で博士課程, 早稲田大学)

UNS戦略プログラム:人材 Masaki Ishiguro, Hironobu Suzuki, Ichiro Murase, Hiroyuki Ohno, Internet Threat Detection System Using Bayesian Estimation, 16th Annual FIRST Conference on Computer Security Incident Handling, 2004. 石黒 正揮, 鈴木 裕信, 村瀬 一郎, "ウェーブレット解析を用いた周波数成分変化に基づくインターネット脅威検出法”, 暗号と情報セキュリティシンポジウム2006. 石黒 正揮, 鈴木 裕信, 村瀬 一郎, 篠田 陽一, インターネット上の脅威分析を支援する空間および時間的な特徴量に基づく分析手法, 情報処理学会論文誌 Vol.48, Number 9, pp.3148-3162, Sep. 2007. Masaki Ishiguro, Hironobu Suzuki, Yoichi Shinoda, Ichiro Murase, Shigeki Goto, An Internet Threat Evaluation Method based on Access Graph of Malicious Packets, 19th Annual FIRST Security Conference, 2007 Akihiro Shimoda, Shigeki Goto, Virtual Dark IP for Internet Threat Detection, In Proceedings of APAN Network Research Workshop 2007, pp.17-24, Aug. 2007. 下田晃弘, 後藤滋樹, フローデータからのDark IP 抽出による脅威観測法、電子情報通信学会論文誌, Vol.J92-B, No.1, pp.163--173, 2009年1月.

6.ICT安心・安全技術 ワーム、ボットネットなど、インターネット上の深刻な脅威を検出し、ネットワークのブロック、脆弱性対策を促すことで、インターネットの安全性を向上させる

7.競争的資金による研究の継続 科学技術振興調整費(文部科学省) 平成16~18年度 「セキュリティ情報の分析と共有システムの開発」 経済産業省 新世代情報セキュリティ研究開発事業 平成17~18年度 「アクセスグラフに基づくボットネット検出技術の研究開発」 総務省 SCOPE 次世代ネットワーク技術 平成17~19年度 「インターネット広域観測による次世代攻撃検知技術に関する研究開発」(物理センサ)

補足資料

従来の物理センサ インターネット 物理センサ 攻撃元 物理センサ 攻撃元 攻撃元 物理センサ インバウンド・パケットは全通過 不正な通信パケット 観測専用 攻撃元 応答無し ファイアーウォール アウトバウンド・パケットは全遮断 従来の物理センサ (Dark IP)

仮想センサ ネットワークサーバ 正常な通信パケット 正常な通信元 中継ルータ(観測点) サービスを提供しないホスト (クライアントPCなど) 不正な通信パケット (リクエストに対する応答無し) ワーム、攻撃元ホスト、 設定に不備のあるホスト など 実在しないホスト 仮想センサ

TCP/IPコネクション確立 クライアント サーバ INIT ①syn LISTEN ② syn + ack SYN SENT SYN RECVD ③ ack ESTABLISHED セッション通信 ④ fin ESTABLISHED FIN WAIT ⑤ ack CLOSING CLOSED CLOSED 状態遷移 パケットフラグ 状態遷移