Presentation is loading. Please wait.

Presentation is loading. Please wait.

セッション追跡によるプロトコルアノーマリの検知と対処

Published byゆずさ うとだ Modified 約 7 年前

Similar presentations

Presentation on theme: "セッション追跡によるプロトコルアノーマリの検知と対処"— Presentation transcript:

1 セッション追跡によるプロトコルアノーマリの検知と対処
SING mizutani(B3) Parent true

2 Road to Bachelor’s Paper
2004年秋 「ホストベース型防御機構の 設計と実装」(予定) 卒業論文 「不正侵入に対する総合的な セキュリティ環境の実現(仮)」 (あくまで予定) 2004年春「Session Based IDSの 設計と実装」電子情報通信学会 和文論文誌 2004年春 「セッション追跡によるプロトコル アノーマリの検知と対処」 2003年秋 「The Design and Implementation of Session Based IDS」 USENIX ※ failed 2003年春 「セッション追跡型IDSの設計と実装」 2002年秋 「ホスト情報をもとにした  攻撃情報のリスク評価」 2003年1月 「IDSのログ視覚化システムの開発」 情報処理学会 DMSシンポジウム 2002年春 IDSログ視覚化システム「pigeye」の開発

3 背景 → IPS (Intrusion Prevention System) FirewallによるFiltering
現在、最も一般的な不正侵入防御手法 IP address range Port number Domain name Passさせざるを得ないtraffic 提供しているサービスへの通信 内部からの通信 信頼しているアドレスからの攻撃 → IPS (Intrusion Prevention System)

4 Intrusion Prevention System
悪意のある通信をフィルタ パケットを落とす 例)ウィルス、ワーム、攻撃ツール 悪意のあるホストからの通信をフィルタ 一定時間 / 管理者が解除するまでフィルタ

5 動作例 ? IPS Exploited !! Attacker Target Malicious packet! Known Unknown
Exploit Code Unknown Exploit Code Attacker Exploited !! Target

6 問題点 定型的な攻撃以外は遮断できない 誤遮断の可能性 確実なルールのみで運用
Overflow Attempt, Assemble Code, Anomaly Packet 攻撃パケットのProtocol Anomalyは過剰検知 誤遮断の可能性 通信エラー、入力データのミス、ソフトウェアのバグ/仕様、あるいは実際の攻撃 正常な通信を妨害してしまう可能性 確実なルールのみで運用 悪意のあるトラフィックか否かの判断が困難 未知の攻撃をうけた場合、被害が拡大 悪意をもつ、持たないの判断をどうするか? 忙しいネットワークは大変っぽい。スケールするのか? 現時点で適切な言い訳ができるようにする。 IDSの検知数を見て、未知の攻撃がどのくらい来ているのか? セッション数に対してどのくらいの異常があるか。 5分観測したセッション数の変化、グラフの変化を見る。怪しい、というフラグがついたのはどのくらいか?

7 解決方法 プロトコルアノーマリから攻撃か否かを判断 規格外の通信に対してエラーを返さない場合 正常とされている通信の方式を登録
反応を含めた通信を監視 規格外の通信に対してエラーを返さない場合 継続的に監視する事で判断要素を増やす 攻撃が成功したと考えられるホストへの内外ともに拒否 被害の拡大を防ぐ セッションってなんなのか? 追跡ってなんなのか? の抽象的な定義 IPアドレス、ポート番号、 (モデル)

8 具体例 HTTP SMTP Out of scope
最初のリクエスト(“GET”、“POST”等)に対して結果コード (200、403、404、500等)が応答に含まれない SMTP HELOコマンドに対して結果コード(250、501)が含まれない HELOコマンドに対する応答にバイナリコードが含まれる Out of scope unknownなプロトコル(自作/非公開プロトコル) 暗号化されたトラフィック

9 動作例 Attacker Target Exploited! ???? No Problem Protocol Anomaly Packet
Unknown Exploit Code Attacker Exploited! Error Message ???? Target

10 有効な環境 不特定多数の人間が使うネットワーク 熟練した管理者がいないネットワーク 外来者のあるネットワーク 大学のネットワーク
家庭内ネットワーク 中小企業のネットワーク

11 設計 Inline型 各セッションの情報を保持 プロトコルの要求と応答をルールとして定義 セッションの定義
ネットワークプレフィックス毎にハッシュ検索 プロトコルの要求と応答をルールとして定義 セッションの定義 Session HTTP 3201 80 7634 25 SMTP

12 今後の予定 6月24日までは電子情報通信学会の論文誌 6月25日から心を入れ替えて、実装 RG-NET内で運用し、評価を行う
(和文ですが)USENIXに提出した内容でリベンジ 6月25日から心を入れ替えて、実装 RG-NET内で運用し、評価を行う 正常な通信を阻害しないか 悪意ある通信を遮断できるか

13 まとめ 内部ホストに対する攻撃の被害を減らす セッション追跡による防御機構を実装する DPSワークショップに論文提出予定
7月30日 論文提出 「卒論」 卒論としてはこんなことをやろうと思っている! 全体のどの部分までやっているのか。 卒論の一部であると主張。 最初にやることは論文!? 前回USENIX残念だったので、がんばる。 IPS あくまで卒論の一部!? 論文の話とIPS、二つの話が平行している。 論文誌書いたり、ワークショップに出すからいいでしょ! って言っちゃう。

Download ppt "セッション追跡によるプロトコルアノーマリの検知と対処"

Similar presentations

第1章 ネットワークとコミュニケーション 第2節 ネットワークのしくみ 2 ネットワークを支える技術 (教科書 p36 ~ p37) 今日の用語  モデム (modulator/demodulator:modem)  IP アドレス (internet protocol address)  ドメインネーム.

第1章 ネットワークとコミュニケーション 第2節 ネットワークのしくみ 2 ネットワークを支える技術 (教科書 p36 ~ p37) 今日の用語  モデム (modulator/demodulator:modem)  IP アドレス (internet protocol address)  ドメインネーム.
IP over DVB-RCS の設計と実装 研究背景 DVB-RCS 衛星回線を用いて受信局から送信局への狭帯域な戻り回線を提供 Forward Link Return Link HUB Terminal.

IP over DVB-RCS の設計と実装 研究背景 DVB-RCS 衛星回線を用いて受信局から送信局への狭帯域な戻り回線を提供 Forward Link Return Link HUB Terminal.
TCP / IP の基礎 ネットワーク管理者入門. インターネットを支える技術 ISO の 7 階層プロトコルと TCP / IP の実装 階層機能関連する TCP / IP プロ トコル アプリケーション層電子メールやファイルの転送 といった、具体的なアプリ ケーションが使用する規約 TELNET.

TCP / IP の基礎 ネットワーク管理者入門. インターネットを支える技術 ISO の 7 階層プロトコルと TCP / IP の実装 階層機能関連する TCP / IP プロ トコル アプリケーション層電子メールやファイルの転送 といった、具体的なアプリ ケーションが使用する規約 TELNET.
プロセスの依存関係に基づく 分散システムのセキュリティ機構

プロセスの依存関係に基づく 分散システムのセキュリティ機構
安全なログオン手順 2004/08/26 Port139 伊原 秀明.

安全なログオン手順 2004/08/26 Port139 伊原 秀明.
クラウド上の仮想マシンの安全なリモート監視機構

クラウド上の仮想マシンの安全なリモート監視機構
クラスタ分析手法を用いた新しい 侵入検知システムの構築

クラスタ分析手法を用いた新しい 侵入検知システムの構築
SOHOシステムの構築と運用 東北NTユーザ会新潟勉強会資料.

SOHOシステムの構築と運用 東北NTユーザ会新潟勉強会資料.
(株)アライブネット RS事業部 企画開発G 小田 誠

(株)アライブネット RS事業部 企画開発G 小田 誠
B4向け研究グループ紹介 セキュリティ&村岡セキュリティプロジェクト

B4向け研究グループ紹介 セキュリティ&村岡セキュリティプロジェクト
受動的攻撃について Eiji James Yoshida penetration technique research site

受動的攻撃について Eiji James Yoshida penetration technique research site
前回の課題 IPv6アドレス IP ARP ICMP NAT インターネット層 2003年12月4日 情報ネットワーク論 新村太郎.

前回の課題 IPv6アドレス IP ARP ICMP NAT インターネット層 2003年12月4日 情報ネットワーク論 新村太郎.
セッション追跡によるプロトコルアノーマリの検知と対処

セッション追跡によるプロトコルアノーマリの検知と対処
TCP (Transmission Control Protocol)

TCP (Transmission Control Protocol)
「コンピュータと情報システム」 07章 インターネットとセキュリティ

「コンピュータと情報システム」 07章 インターネットとセキュリティ
2005年度 情報システム構成論 第5回 ネットワークセキュリティ基礎

2005年度 情報システム構成論 第5回 ネットワークセキュリティ基礎
第5章 情報セキュリティ(前半) [近代科学社刊]

第5章 情報セキュリティ(前半) [近代科学社刊]
NEC-早大技術交流会 OpenFlowスイッチによる広域通信の効率的集約法

NEC-早大技術交流会 OpenFlowスイッチによる広域通信の効率的集約法
岡村耕二 http://okaweb.ec.kyushu-u.ac.jp/lectures/in/ 情報ネットワーク 岡村耕二 http://okaweb.ec.kyushu-u.ac.jp/lectures/in/ 情報ネットワーク.

岡村耕二 情報ネットワーク 岡村耕二 情報ネットワーク.
i-Pathルータのフロー情報を用いたDoS攻撃検知法

i-Pathルータのフロー情報を用いたDoS攻撃検知法

Similar presentations

Ads by Google