戦略的情報通信研究開発推進制度(SCOPE) 仮想センサによる インターネット広域脅威検知技術の研究開発 2009年3月10日 後藤滋樹 村瀬一郎 鈴木裕信 早稲田大学 理工学術院
内容 背景と目的 研究開発の概要 技術的・学術的な知見向上 目標、計画 予算計画、実施体制 イノベーション促進 総務省が示す政策との整合性 ICT安心・安全の確保 競争的資金による優れた研究の継続
・ 背景と目的 仮想センサに基く新しい広域脅威観測技術 ボットネットの攻撃手法の巧妙化、高速な進化 攻撃を迅速かつ高精度で検出 世界規模の広域観測が不可欠 IPv6の進展により、観測空間が広大になる 物理センサは台数に制約あり、新たな観測手法が必要 エネルギー消費、機器コスト、メンテナンスコストの増大 観測IPアドレスの確保が困難 ユビキタスネットワーク、モバイル機器の普及 動的ネットワーク環境でシームレスな観測が必要 仮想センサに基く新しい広域脅威観測技術
従来手法との比較 従来は物理センサを利用 本提案は仮想センサ 個々のIPアドレスで観測 中継ルータで観測 物理リソースの制約 従来は物理センサを利用 本提案は仮想センサ 個々のIPアドレスで観測 中継ルータで観測 IPv6 ユビキタス・モバイル インターネット インターネット ユビキタスネットワーク 社会への移行 クライアントPC ・・・ ・・・ 中核ルータ モバイル 未観測 情報家電 攻撃元 (ボット、ワーム等) 攻撃元 (ボット、ワーム等) 物理センサ (数十台程度) 存在しないホスト 仮想センサ (60,000台以上相当) 物理リソースの制約 IPアドレス確保の困難 センサの偏り モバイル非対応 物理リソースの制約無し IPアドレス確保が不要 広域観測観測 モバイル・ユビキタスシームレス
・ 研究開発の概要 インターネット上のルータにおけるネットワークフローを解析することにより、ワームやボットなどの攻撃を広大なIPアドレス空間において検知する技術を開発する。従来の観測法では個別のIPアドレスに物理的な観測センサを設置するため、観測範囲に制約があった。提案技術 (仮想センサ)は、個別のIPアドレスに物理的なセンサを用いる必要が無い。この特徴を活かして、将来の広大なIPv6アドレス空間においても、モバイル機器などが混在するユビキタスネットワークに対して、シームレスで広域的な脅威検知が可能になる。
研究目的 インターネット上のルータにおけるネットワークフローデータを解析することにより、従来の物理センサでは実現困難な広域のIPアドレス空間における不正パケットを検出し、その分布の変化からインターネット上の脅威を早期に検知する技術を開発する。 研究開発の概要 ルータのネットワークフローデータで観測される送受信関係の時間推移を状態遷移システムを用いて解析し、大規模な仮想的なインターネット脅威検知センサ網を構成する。検知された脅威情報に基づく、不正なトラフィックの遮断、ゼロデイ攻撃の対象となるソフトウェア脆弱性の発見抽出のための支援情報を提供する。 IPv6 広域観測 期待される研究成果 少ないリソースで、広域的な仮想センサ網を構築し、インターネット上の脅威を早期に検知する。 社会的意義 IPv6をベースとするユビキタスネットワーク社会において、従来の物理観測センサでは実現が困難とされていた広域のインターネット脅威観測システムを構築し、深刻なネットワーク被害を未然に防ぐための基盤が確立される。 ユビキタス・モバイル環境 のシームレス観測 ルータで観測 クライアントPC インターネット ・・・ モバイル 中継ルータ ・・・ 情報家電 確率状態遷移システム 仮想センサ網 の構築 存在しないホスト 攻撃元 (ボット、ワーム等) 仮想センサ (50,000台以上相当) 観測アドレスの 確保が不要
研究開発目標 達成方法 中継ルータにおけるNetFlowデータに対して、確率的状態遷移システムに基く解析を適用し、仮想センサの抽出、不正パケットの検出を行う(広域仮想脅威検知技術 ) 同様の技術を組織のゲートウェイに適用し、局所的な高精度脅威検知技術を実現 広域仮想脅威検知技術 と局所高精度脅威検知技術を統合し、広域かつ高精度の脅威検知技術を実現する
仮想センサ検出 状態遷移 注) 仮想センサー、仮想センサー候補から攻撃ホストへの状態遷移あり フロー観測 送信先IP 未判定ホスト タイマTS1 送信元IP 無応答N回 リミットタイムTR 攻撃M回 リミットタイムTR 送信元IP タイマTS2 ライフタイムTL 送信ホスト 仮想センサ 仮想センサ へ送信 送信元IP 仮想センサ へ送信 タイマTS3 攻撃ホスト 注) 仮想センサー、仮想センサー候補から攻撃ホストへの状態遷移あり
広域観測と局所観測 中継ルータが観測するフローは非対称かもしれない 広域観測 (サンプリングデータ) 中継ルータ ゲートウェイ 非対称経路 組織LAN 不正なホスト 局所観測 (全フローデータ) 中継ルータが観測するフローは非対称かもしれない
具体的な観測対象 広域観測と局所観測 広域観測 (サンプリングデータ) ゲートウェイ 局所観測 (全フローデータ) 中継ルータ 不正なホスト APANネットワーク ゲートウェイ 局所観測 (全フローデータ) 中継ルータ 早稲田大学LAN 不正なホスト SINET 非対称経路
広域脅威検知と局所脅威検知の関係 双方の優位な情報を共有する 広域の全体像を把握 広域脅威検知 局所的な正確な状況把握 局所高精度 脅威検知 (IPアドレス空間) 局所的な正確な状況把握 高精度な仮想センサ情報 局所高精度 脅威検知 広域的な攻撃元の情報 サンプリングデータ解析 全フローデータ解析 ノイズが多い ノイズが少ない
1.技術的・学術的な貢献 新規性・革新性等: 従来の物理センサによる脅威観測に対して、中継ルータのネットワークフロー解析により仮想的に脅威観測を行うことで、以下の効果をもたらす: 物理センサ資源に制限されない広大なIP空間の観測が可能 ユビキタス・モバイル環境における動的なネットワークの観測が可能 物理センサを除去することで、大幅な省エネルギー効果があり環境保護に貢献 情報通信技術の発展への貢献: 世界規模の広域で大規模なインターネット上の不正パケットデータを蓄積することが可能となり、脅威検知技術の研究開発を促進する。 トラフィック解析技術の向上により、QoS、ネットワーク構成の最適化などの研究開発を促進する。 IETF国際標準IPFIX(RFC 3955標準)に基く汎用なフローデータ形式から、異常系および正常系のフローを分離する技術を提供することで、トラフィック解析の研究開発のための共通基盤を確立する。
2.目標・計画 仮想センサにより60,000IPアドレス以上の広域観測を実現 予備実験により、同程度の観測が可能である見通しが立っている。 局所脅威検知技術において組織内の高精度脅威観測を64IPアドレス程度について実現 早稲田大学のIPアドレス空間は、クラスBの65,534アドレスである。実際に割り当てられているアドレスはこれより少ないが、この空間全体の1/100程度のアドレスについて高精度の脅威観測ができれば、そこで観測された不正パケットの送信元IPアドレスから、広域脅威観測の精度向上に有効と考えられる。 広域インシデント検知率を10%程度向上
3.予算計画、実施体制 予算 研究機材をリース 研究補助員により実験環境を整備 ダークファイバを利用(早稲田大学=大手町) 国際会議への参加 ソフトウェアを外注 実施体制と役割分担 早稲田大学 理工学術院 基幹理工学部 早稲田大学 理工学術院 総合研究所(理工学研究所) 後藤滋樹: 全体の統括、学生の指導 村瀬一郎: ソフトウェアの仕様決定 鈴木裕信: 実証実験、ネットワーク間の交渉
4.イノベーション促進 仮想センサに関する基礎技術を「種」として現有し、広域脅威検知技術と局所高精度仮想技術の統合による精度向上と、状態遷移システムの精密化により、実用的な精度による大規模な仮想センサとして「実」に育てる フローデータから、異常系および正常系のフローを分離する技術を実現することにより、通信品質の保証、 ネットワーク構成の最適化など正常系の研究開発を含めた研究基盤を確立して、国際的な技術優位性を確立する 日本の全上場企業について、インシデントによる情報漏洩等の潜在的な損害リスクの総額は29兆円 と見積もられている。本技術の実用化により、Symantec, LAC, CA等が運営するセキュリティ・オペレーション・センター(SOC)や、政府機関・民間企業が設置するインシデント・レスポンス・チーム(CSIRT)等のセキュリティ対策機関における利用が見込まれる。本技術により、インターネット上の観測できるアドレス空間は、数十程度から数万程度へと1000倍程度の飛躍的な拡大が可能となり、脅威発生時のトラフィック遮断や感染ホストへのパッチ適用など早期に実施できる 仮想センサの実用化により、インシデントの発生リスクの低減されることで、eコマースの拡大にも寄与する。日本のB2Cビジネスの市場規模は4兆4000億円 とされている。本技術の普及により、インターネット上の脅威低減によりeコマース市場は2割程度押し上げることが期待される
サイバー攻撃を検知して、以後に発生する本格的なサイバー攻撃を予知する技術の確立 5.総務省の政策との整合性 UNS 研究開発戦略プログラムII 5.セキュアネットワーク 5-2 ネットワーク運用管理技術 UNS 研究開発戦略プログラムII 本研究開発の関連領域 サイバー攻撃を検知して、以後に発生する本格的なサイバー攻撃を予知する技術の確立
UNS戦略プログラムⅡ 「ICT研究開発戦略~UNS戦略プログラムⅡ」 総務省 情報通信国際戦略局 2008年8月 http://www.kiai.gr.jp/PDF/soukai2008/kodama_d0711.pdf 研究開発を支えていく人材の育成・活用 新たな事業分野の創出を主導できるような研究開発人材(ITイノベーションリーダ)の育成 本提案に先立つSCOPE課題での実績 石黒正揮(学位取得, 北陸先端大学院大学) 下田晃弘(修士1年から飛び級で博士課程, 早稲田大学)
UNS戦略プログラム:人材 Masaki Ishiguro, Hironobu Suzuki, Ichiro Murase, Hiroyuki Ohno, Internet Threat Detection System Using Bayesian Estimation, 16th Annual FIRST Conference on Computer Security Incident Handling, 2004. 石黒 正揮, 鈴木 裕信, 村瀬 一郎, ウェーブレット解析を用いた周波数成分変化に基づくインターネット脅威検出法, 暗号と情報セキュリティシンポジウム2006. 石黒 正揮, 鈴木 裕信, 村瀬 一郎, 篠田 陽一, インターネット上の脅威分析を支援する空間および時間的な特徴量に基づく分析手法, 情報処理学会論文誌 Vol.48, Number 9, pp.3148-3162, Sep. 2007. Masaki Ishiguro, Hironobu Suzuki, Yoichi Shinoda, Ichiro Murase, Shigeki Goto, An Internet Threat Evaluation Method based on Access Graph of Malicious Packets, 19th Annual FIRST Security Conference, 2007 Akihiro Shimoda, Shigeki Goto, Virtual Dark IP for Internet Threat Detection, In Proceedings of APAN Network Research Workshop 2007, pp.17-24, Aug. 2007. 下田晃弘, 後藤滋樹, フローデータからのDark IP 抽出による脅威観測法、電子情報通信学会論文誌, Vol.J92-B, No.1, pp.163--173, 2009年1月.
6.ICT安心・安全技術 ネットワークの利用がセキュリティの問題を含んでいることは社会的に広く認識されている 本課題は、ワーム、ボットネットなど、インターネット上の深刻な脅威を検出し、ネットワークのブロック、脆弱性対策を促すことで、インターネットの安全性を向上させる すなわち「ネットワーク運用管理技術」だけではなく「悪意のある通信遮断技術」にも役に立つ IPv6の巨大なIPアドレス空間や、あるいは超高速ネットワークでも、本研究の手法が適用できる
7.競争的資金による研究の継続 科学技術振興調整費(文部科学省) 平成16~18年度 「セキュリティ情報の分析と共有システムの開発」 経済産業省 新世代情報セキュリティ研究開発事業 平成17~18年度 「アクセスグラフに基づくボットネット検出技術の研究開発」 総務省 SCOPE 次世代ネットワーク技術 平成17~19年度 「インターネット広域観測による次世代攻撃検知技術に関する研究開発」(物理センサ)
補足資料
従来の物理センサ インターネット 物理センサ 攻撃元 物理センサ 攻撃元 攻撃元 物理センサ インバウンド・パケットは全通過 不正な通信パケット 観測専用 攻撃元 応答無し ファイアーウォール アウトバウンド・パケットは全遮断 従来の物理センサ (Dark IP)
単純に片方向のトラフィックを不正とは断定できない 仮想センサの基本的なアイデア ネットワークサーバ 正常な通信パケット 正常な通信元 中継ルータ(観測点) サービスを提供しないホスト (クライアントPCなど) 不正な通信パケット (リクエストに対する応答無し) ワーム、攻撃元ホスト、 設定に不備のあるホスト など 実在しないホスト 仮想センサ 単純に片方向のトラフィックを不正とは断定できない
物理センサと仮想センサ 仮想センサ(VDIP),物理センサ(SANS,WCLSAN)