戦略的情報通信研究開発推進制度(SCOPE) 仮想センサによる インターネット広域脅威検知技術の研究開発

Slides:



Advertisements
Similar presentations
生体情報を利用したオンライン認証システムに関する研 究 情報工学科 大山・山口・小尾研究室 学士課程4年田中 丈登.
Advertisements

平成27年度SCOPE(重点領域型研究開発(先進的通信アプリケーション開発型)) 研究開発課題 ○○の研究開発
クラスタ分析手法を用いた新しい 侵入検知システムの構築
受動的攻撃について Eiji James Yoshida penetration technique research site
ここに若林の絵が入る Ⅰ 従来型サービスの課題 Ⅴ Solaris基盤ヘルスチェックサービス ●従来型サービス Ⅱ 新サービスの概要
平成28年度SCOPE(重点領域型研究開発(先進的通信アプリケーション開発型)) 研究開発課題 ○○の研究開発
(新エネルギー等の導入・普及に当たっての評価方法や基準への適合性評価の課題)
リスク評価 ・管理技術開発 有害性評価手法 暴露評価手法 リスク評価手法 リスク管理手法 化学物質総合管理分野のロードマップ(1) (目標)
神奈川大学大学院工学研究科 電気電子情報工学専攻
早稲田大学大学院 理工学研究科情報科学専攻 後藤滋樹研究室 1年 渡辺裕太
第二期受付(※) 平成21年9月頃(予定)(※)採択できる予算がある場合
NEC-早大技術交流会 OpenFlowスイッチによる広域通信の効率的集約法
アジア恊働大学院(AUI)構想 AUI推進機構/設立趣意書
標準空間情報の整備及び 異種データベース間のデータ交換手法 に関する研究開発
第13回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
Ⅲ.サービス開発の方法.
PlanetLab における 効率的な近隣サーバ選択法
仮想センサによる 広域ネットワーク脅威検出法
サーバ負荷分散におけるOpenFlowを用いた省電力法
東京大学空間情報科学研究センターを 中心とした空間情報データベースの整備
大阪大学 大学院情報科学研究科 博士前期課程2年 宮原研究室 土居 聡
「沖縄におけるスポーツサイエンスの拠点化に向けた
7. セキュリティネットワーク (ファイアウォール)
i-Pathルータのフロー情報を用いたDoS攻撃検知法
分散IDSの実行環境の分離 による安全性の向上
2009年度卒業論文発表 CDNコンテンツサーバの動的負荷分散
セキュリティ 05A2013 大川内 斉.
平成28年 「IoT推進のための新産業モデル創出基盤整備事業 (ビッグデータを活用した新指標開発事業)」
マルチホーミングを利用した Proxy Mobile IPv6の ハンドオーバー
長期滞在型テレワークの誘致及び導入検討調査
ソフトウェア設計検証 研究室の紹介 知能情報学部 准教授 新田直也.
高汐 一紀 慶應義塾大学 新しい空間の創出:uPlatea 新しい道具の創出: u-Photo 思考する家具・部材: u-Texture
平成29年度 WPI新規拠点公募のポイント (採択数・支援規模・ホスト機関の要件 等) (研究領域) (ミッション) (その他) 1
「沖縄におけるスポーツサイエンスの拠点化に向けた
戦略的情報通信研究開発推進制度(SCOPE) 仮想センサによる インターネット広域脅威検知技術の研究開発
最先端ICT都市の実現に向け、「ICTの徹底活用」と「ICTの適正利用」を基本に取組をすすめます
IP over DVB-RCSの設計と実装
平成27年度SCOPE(重点領域型研究開発(スマートネットワークロボット)) 研究開発課題 ○○の研究開発
大阪バイオ戦略2017のポイント 重点取組 主な取組 オール大阪で事業推進 規制改革 治験促進
DNSクエリーパターンを用いたOSの推定
Intel SGXを用いた仮想マシンの 安全な監視機構
軽量な仮想マシンを用いたIoT機器の安全な監視
片方向通信路を含む ネットワークアーキテクチャに於ける 動的な仮想リンク制御機構の設計と実装
背景 課題 目的 手法 作業 期待 成果 有限体積法による汎用CFDにおける 流体構造連成解析ソルバーの計算効率の検証
C11: 不正アクセスパケットの可視化 シャボン
不完全な定点観測から 真の不正ホストの分布が分かるか?
戦略的情報通信研究開発推進制度(SCOPE) 仮想センサによる インターネット広域脅威検知技術の研究開発
生活支援 中央研修 H26.9.4(木)~5(金) 品川フロントビル会議室 H26.9.6(土)~7(日) JA共済ビルカンファレンスホール
後藤滋樹研究室の紹介 現在のインターネットの課題 敵を知り、己を知れば、百戦危うからず(孫子) 1
ICMPを用いた侵入検知システムの負荷軽減
コミュニケーションと ネットワークを探索する
(新エネルギー等の導入・普及に当たっての評価方法や基準への適合性評価の課題)
P2P ネットワーク上で 実時間ストリーミングを実現するための 分散制御プロトコルの提案
仮想環境を用いた 侵入検知システムの安全な構成法
端末・エッジ・クラウド連携の三位一体による 「考えるネットワーク」の研究
地方公共団体オープンデータ推進ガイドラインの概要
研究背景・目的 研究組織 実施内容 適用手法 提案研究により期待されること
1業務の実施方針等に関する事項 【1.1調査内容の妥当性、独創性】
1業務の実施方針等に関する事項 【1.1事業実施の基本方針、業務内容等】
研究開発名称 (対象とする技術のイラストや図) 提案者:○○株式会社 研究開発の概要 概算経費
1. サイバー攻撃の予兆となる社会データを収集 2. サイバー脅威を観測し、ビッグデータを形成 3. 異種ビッグデータから攻撃の全体像の解明
衛星回線を含むネットワークにおける 動的経路制御に関する研究
クラスタリングを用いた ベイズ学習モデルを動的に更新する ソフトウェア障害検知手法
ー提案書ー 平成30年度 インバウンドによるお土産農林水産物・食品の 効率的受取方法の構築に関する実証調査業務 (日付) (企業名)
戦略的情報通信研究開発推進制度(SCOPE) 仮想センサによる インターネット広域脅威検知技術の研究開発
(別紙1) 提案書雛型 令和元年度 沖縄型テレワーク実装推進調査 ー提案書ー                        (日付)                        (企業名)                        (連絡先等)
調査項目:(事業環境/健康投資/品質評価から選択) コンソーシアム等名称:
研究開発名称 (対象とする技術のイラストや図) 提案者:○○株式会社 研究開発の概要 概算経費
沖縄における希少作物の産地化及び観光資源化
Presentation transcript:

戦略的情報通信研究開発推進制度(SCOPE) 仮想センサによる インターネット広域脅威検知技術の研究開発 2009年3月10日 後藤滋樹   村瀬一郎   鈴木裕信 早稲田大学 理工学術院

内容 背景と目的 研究開発の概要 技術的・学術的な知見向上 目標、計画 予算計画、実施体制 イノベーション促進 総務省が示す政策との整合性 ICT安心・安全の確保 競争的資金による優れた研究の継続

・ 背景と目的 仮想センサに基く新しい広域脅威観測技術 ボットネットの攻撃手法の巧妙化、高速な進化 攻撃を迅速かつ高精度で検出  世界規模の広域観測が不可欠 IPv6の進展により、観測空間が広大になる 物理センサは台数に制約あり、新たな観測手法が必要 エネルギー消費、機器コスト、メンテナンスコストの増大 観測IPアドレスの確保が困難 ユビキタスネットワーク、モバイル機器の普及  動的ネットワーク環境でシームレスな観測が必要 仮想センサに基く新しい広域脅威観測技術

従来手法との比較 従来は物理センサを利用 本提案は仮想センサ 個々のIPアドレスで観測 中継ルータで観測 物理リソースの制約 従来は物理センサを利用    本提案は仮想センサ 個々のIPアドレスで観測 中継ルータで観測 IPv6 ユビキタス・モバイル インターネット インターネット ユビキタスネットワーク 社会への移行 クライアントPC ・・・ ・・・ 中核ルータ モバイル 未観測 情報家電 攻撃元 (ボット、ワーム等) 攻撃元 (ボット、ワーム等) 物理センサ (数十台程度) 存在しないホスト 仮想センサ (60,000台以上相当) 物理リソースの制約 IPアドレス確保の困難 センサの偏り モバイル非対応 物理リソースの制約無し IPアドレス確保が不要 広域観測観測 モバイル・ユビキタスシームレス

・ 研究開発の概要   インターネット上のルータにおけるネットワークフローを解析することにより、ワームやボットなどの攻撃を広大なIPアドレス空間において検知する技術を開発する。従来の観測法では個別のIPアドレスに物理的な観測センサを設置するため、観測範囲に制約があった。提案技術 (仮想センサ)は、個別のIPアドレスに物理的なセンサを用いる必要が無い。この特徴を活かして、将来の広大なIPv6アドレス空間においても、モバイル機器などが混在するユビキタスネットワークに対して、シームレスで広域的な脅威検知が可能になる。

研究目的 インターネット上のルータにおけるネットワークフローデータを解析することにより、従来の物理センサでは実現困難な広域のIPアドレス空間における不正パケットを検出し、その分布の変化からインターネット上の脅威を早期に検知する技術を開発する。 研究開発の概要 ルータのネットワークフローデータで観測される送受信関係の時間推移を状態遷移システムを用いて解析し、大規模な仮想的なインターネット脅威検知センサ網を構成する。検知された脅威情報に基づく、不正なトラフィックの遮断、ゼロデイ攻撃の対象となるソフトウェア脆弱性の発見抽出のための支援情報を提供する。 IPv6 広域観測 期待される研究成果 少ないリソースで、広域的な仮想センサ網を構築し、インターネット上の脅威を早期に検知する。 社会的意義 IPv6をベースとするユビキタスネットワーク社会において、従来の物理観測センサでは実現が困難とされていた広域のインターネット脅威観測システムを構築し、深刻なネットワーク被害を未然に防ぐための基盤が確立される。 ユビキタス・モバイル環境 のシームレス観測 ルータで観測 クライアントPC インターネット ・・・ モバイル 中継ルータ ・・・ 情報家電 確率状態遷移システム 仮想センサ網 の構築 存在しないホスト 攻撃元 (ボット、ワーム等) 仮想センサ (50,000台以上相当) 観測アドレスの 確保が不要

研究開発目標 達成方法 中継ルータにおけるNetFlowデータに対して、確率的状態遷移システムに基く解析を適用し、仮想センサの抽出、不正パケットの検出を行う(広域仮想脅威検知技術 ) 同様の技術を組織のゲートウェイに適用し、局所的な高精度脅威検知技術を実現 広域仮想脅威検知技術 と局所高精度脅威検知技術を統合し、広域かつ高精度の脅威検知技術を実現する

仮想センサ検出 状態遷移 注) 仮想センサー、仮想センサー候補から攻撃ホストへの状態遷移あり フロー観測 送信先IP 未判定ホスト タイマTS1 送信元IP 無応答N回 リミットタイムTR 攻撃M回 リミットタイムTR 送信元IP タイマTS2 ライフタイムTL 送信ホスト 仮想センサ 仮想センサ へ送信 送信元IP 仮想センサ へ送信 タイマTS3 攻撃ホスト 注) 仮想センサー、仮想センサー候補から攻撃ホストへの状態遷移あり

広域観測と局所観測 中継ルータが観測するフローは非対称かもしれない 広域観測 (サンプリングデータ) 中継ルータ ゲートウェイ 非対称経路   組織LAN 不正なホスト 局所観測 (全フローデータ) 中継ルータが観測するフローは非対称かもしれない

具体的な観測対象 広域観測と局所観測 広域観測 (サンプリングデータ) ゲートウェイ 局所観測 (全フローデータ) 中継ルータ 不正なホスト APANネットワーク ゲートウェイ 局所観測 (全フローデータ) 中継ルータ   早稲田大学LAN 不正なホスト SINET 非対称経路

広域脅威検知と局所脅威検知の関係 双方の優位な情報を共有する 広域の全体像を把握 広域脅威検知 局所的な正確な状況把握 局所高精度 脅威検知 (IPアドレス空間) 局所的な正確な状況把握 高精度な仮想センサ情報 局所高精度 脅威検知 広域的な攻撃元の情報 サンプリングデータ解析 全フローデータ解析 ノイズが多い ノイズが少ない

1.技術的・学術的な貢献 新規性・革新性等: 従来の物理センサによる脅威観測に対して、中継ルータのネットワークフロー解析により仮想的に脅威観測を行うことで、以下の効果をもたらす: 物理センサ資源に制限されない広大なIP空間の観測が可能 ユビキタス・モバイル環境における動的なネットワークの観測が可能 物理センサを除去することで、大幅な省エネルギー効果があり環境保護に貢献 情報通信技術の発展への貢献: 世界規模の広域で大規模なインターネット上の不正パケットデータを蓄積することが可能となり、脅威検知技術の研究開発を促進する。 トラフィック解析技術の向上により、QoS、ネットワーク構成の最適化などの研究開発を促進する。 IETF国際標準IPFIX(RFC 3955標準)に基く汎用なフローデータ形式から、異常系および正常系のフローを分離する技術を提供することで、トラフィック解析の研究開発のための共通基盤を確立する。

2.目標・計画 仮想センサにより60,000IPアドレス以上の広域観測を実現 予備実験により、同程度の観測が可能である見通しが立っている。 局所脅威検知技術において組織内の高精度脅威観測を64IPアドレス程度について実現 早稲田大学のIPアドレス空間は、クラスBの65,534アドレスである。実際に割り当てられているアドレスはこれより少ないが、この空間全体の1/100程度のアドレスについて高精度の脅威観測ができれば、そこで観測された不正パケットの送信元IPアドレスから、広域脅威観測の精度向上に有効と考えられる。 広域インシデント検知率を10%程度向上

3.予算計画、実施体制 予算 研究機材をリース 研究補助員により実験環境を整備 ダークファイバを利用(早稲田大学=大手町) 国際会議への参加 ソフトウェアを外注 実施体制と役割分担 早稲田大学 理工学術院 基幹理工学部 早稲田大学 理工学術院 総合研究所(理工学研究所) 後藤滋樹: 全体の統括、学生の指導 村瀬一郎: ソフトウェアの仕様決定 鈴木裕信: 実証実験、ネットワーク間の交渉

4.イノベーション促進 仮想センサに関する基礎技術を「種」として現有し、広域脅威検知技術と局所高精度仮想技術の統合による精度向上と、状態遷移システムの精密化により、実用的な精度による大規模な仮想センサとして「実」に育てる フローデータから、異常系および正常系のフローを分離する技術を実現することにより、通信品質の保証、 ネットワーク構成の最適化など正常系の研究開発を含めた研究基盤を確立して、国際的な技術優位性を確立する 日本の全上場企業について、インシデントによる情報漏洩等の潜在的な損害リスクの総額は29兆円 と見積もられている。本技術の実用化により、Symantec, LAC, CA等が運営するセキュリティ・オペレーション・センター(SOC)や、政府機関・民間企業が設置するインシデント・レスポンス・チーム(CSIRT)等のセキュリティ対策機関における利用が見込まれる。本技術により、インターネット上の観測できるアドレス空間は、数十程度から数万程度へと1000倍程度の飛躍的な拡大が可能となり、脅威発生時のトラフィック遮断や感染ホストへのパッチ適用など早期に実施できる 仮想センサの実用化により、インシデントの発生リスクの低減されることで、eコマースの拡大にも寄与する。日本のB2Cビジネスの市場規模は4兆4000億円 とされている。本技術の普及により、インターネット上の脅威低減によりeコマース市場は2割程度押し上げることが期待される

サイバー攻撃を検知して、以後に発生する本格的なサイバー攻撃を予知する技術の確立 5.総務省の政策との整合性 UNS 研究開発戦略プログラムII 5.セキュアネットワーク 5-2 ネットワーク運用管理技術 UNS 研究開発戦略プログラムII 本研究開発の関連領域 サイバー攻撃を検知して、以後に発生する本格的なサイバー攻撃を予知する技術の確立

UNS戦略プログラムⅡ 「ICT研究開発戦略~UNS戦略プログラムⅡ」 総務省 情報通信国際戦略局 2008年8月 http://www.kiai.gr.jp/PDF/soukai2008/kodama_d0711.pdf 研究開発を支えていく人材の育成・活用 新たな事業分野の創出を主導できるような研究開発人材(ITイノベーションリーダ)の育成 本提案に先立つSCOPE課題での実績 石黒正揮(学位取得, 北陸先端大学院大学) 下田晃弘(修士1年から飛び級で博士課程, 早稲田大学)

UNS戦略プログラム:人材 Masaki Ishiguro, Hironobu Suzuki, Ichiro Murase, Hiroyuki Ohno, Internet Threat Detection System Using Bayesian Estimation, 16th Annual FIRST Conference on Computer Security Incident Handling, 2004. 石黒 正揮, 鈴木 裕信, 村瀬 一郎, ウェーブレット解析を用いた周波数成分変化に基づくインターネット脅威検出法, 暗号と情報セキュリティシンポジウム2006. 石黒 正揮, 鈴木 裕信, 村瀬 一郎, 篠田 陽一, インターネット上の脅威分析を支援する空間および時間的な特徴量に基づく分析手法, 情報処理学会論文誌 Vol.48, Number 9, pp.3148-3162, Sep. 2007. Masaki Ishiguro, Hironobu Suzuki, Yoichi Shinoda, Ichiro Murase, Shigeki Goto, An Internet Threat Evaluation Method based on Access Graph of Malicious Packets, 19th Annual FIRST Security Conference, 2007 Akihiro Shimoda, Shigeki Goto, Virtual Dark IP for Internet Threat Detection, In Proceedings of APAN Network Research Workshop 2007, pp.17-24, Aug. 2007. 下田晃弘, 後藤滋樹, フローデータからのDark IP 抽出による脅威観測法、電子情報通信学会論文誌, Vol.J92-B, No.1, pp.163--173, 2009年1月.

6.ICT安心・安全技術 ネットワークの利用がセキュリティの問題を含んでいることは社会的に広く認識されている 本課題は、ワーム、ボットネットなど、インターネット上の深刻な脅威を検出し、ネットワークのブロック、脆弱性対策を促すことで、インターネットの安全性を向上させる すなわち「ネットワーク運用管理技術」だけではなく「悪意のある通信遮断技術」にも役に立つ IPv6の巨大なIPアドレス空間や、あるいは超高速ネットワークでも、本研究の手法が適用できる

7.競争的資金による研究の継続 科学技術振興調整費(文部科学省) 平成16~18年度 「セキュリティ情報の分析と共有システムの開発」 経済産業省 新世代情報セキュリティ研究開発事業 平成17~18年度 「アクセスグラフに基づくボットネット検出技術の研究開発」 総務省 SCOPE 次世代ネットワーク技術 平成17~19年度 「インターネット広域観測による次世代攻撃検知技術に関する研究開発」(物理センサ)

補足資料

従来の物理センサ インターネット 物理センサ 攻撃元 物理センサ 攻撃元 攻撃元 物理センサ インバウンド・パケットは全通過 不正な通信パケット 観測専用 攻撃元 応答無し ファイアーウォール アウトバウンド・パケットは全遮断 従来の物理センサ (Dark IP)

単純に片方向のトラフィックを不正とは断定できない 仮想センサの基本的なアイデア ネットワークサーバ 正常な通信パケット 正常な通信元 中継ルータ(観測点) サービスを提供しないホスト (クライアントPCなど) 不正な通信パケット (リクエストに対する応答無し) ワーム、攻撃元ホスト、 設定に不備のあるホスト など 実在しないホスト 仮想センサ 単純に片方向のトラフィックを不正とは断定できない

物理センサと仮想センサ 仮想センサ(VDIP),物理センサ(SANS,WCLSAN)