NEC-早大技術交流会 OpenFlowスイッチによる広域通信の効率的集約法

Presentation on theme: "NEC-早大技術交流会 OpenFlowスイッチによる広域通信の効率的集約法"— Presentation transcript:

1 NEC-早大技術交流会 OpenFlowスイッチによる広域通信の効率的集約法
山田 建史 早稲田大学 基幹理工学研究科 情報理工学専攻 後藤滋樹研究室 修士1年 NEC-早大技術交流会 2011/12/26

2 １. 研究の背景 ２. 研究の目的 ３. 既存手法 ４. 提案手法 ５. 実証実験 ６． 実験結果 ７．まとめと今後の課題
Agenda １. 研究の背景 ２. 研究の目的 ３. 既存手法 ４. 提案手法 ５. 実証実験 ６． 実験結果 ７．まとめと今後の課題 NEC-早大技術交流会 2011/12/26

3 研究の背景 情報量増大に伴い悪意のある通信の問題が顕在化 広域的な調査を行い、多様化した攻撃の実態を掴む
国際的なサイバー攻撃が頻発 ボットネットの活動の調査が追いつかない 広域的な調査を行い、多様化した攻撃の実態を掴む 効率的に攻撃手法の情報収集が必要 IT利用の利便性と情報セキュリティ対策との両立 通信の選別 サイバー攻撃やボットネットの活動を把握するためには広域的な調査が必要。 既存のネットワークに影響を与えない NEC-早大技術交流会 2011/12/26

4 研究の目的１ 既存の悪意のある通信の観測や防御に必要な機器 観測を行う範囲を広げると ネットワーク機器での制御 ・設備投資によるコスト増大
侵入検知システム（IDS） 侵入防御システム（IPS） ファイアウォール 　　　　　観測を行う範囲を広げると 　　・設備投資によるコスト増大 　　・機器の運用や設定にかかる人的なコスト 　ネットワーク機器での制御 　観測機器の設置・維持によるコストを抑えられる 　広域な通信を効率良く制御できる 単純に設置台数が増えるなど、設備投資や人的なコスト増大 →元からあるネットワーク機器で制御ができればそれらが必要なくなる NEC-早大技術交流会 2011/12/26

5 関連研究：ポリシールーティングを用いた 　　　　　　　ネットワークハニーポットの構築 白畑真, 南政樹,村井純（情報処理学会研究報告（DSM-038）, pp.55-58, 2005）
ルータにポリシーを与え検知した通信をハニーポットに集約 特定のポート番号を元にルーティング Iptablesとiproute2を組み合わせる ルータ ポート番号による ポリシールーティング ホスト Internet ルータ エントリ数が大きくなるとルータの負荷が大きくなってしまう。 →制御内容が多様になったとしてもその利点を活かすことが難しい 制御内容は適用したルータ自身にのみ適用される →広範囲の通信を制御するために複数のルータそれぞれに適用しなければならない 　結局スケールアウトしない ・エントリ数が大きくなるとルータに負荷がかかる 　　→ ポート番号でのみの制御 ・制御内容の適用はルータ自身にのみ 　　→効率が悪く、スケールアウトしない ハニーポット NEC-早大技術交流会 2011/12/26

6 研究の目的２ OpenFlowスイッチング技術 広域な通信を一元管理できるネットワーク管理システムが必要
スイッチの機能を転送部と制御部に独立 制御部による転送部への一元管理 広域通信を効率良く制御し、悪意のある通信を集約する 悪意のある通信の選別 安定した通信の集約 OpenFlowスイッチング技術 柔軟かつ集約的な制御 Openflowの説明はあとで詳しく。 ネットワーク機器を1つの制御部により制御可能。 　→このシステムを利用して選別による安定した通信の集約を目指す NEC-早大技術交流会 2011/12/26

7 提案手法 OpenFｌowスイッチによる 広域通信の効率的集約法 NEC-早大技術交流会 2011/12/26

8 提案手法：悪意のある通信の集約 広範囲の通信をOpenFlowスイッチにより選別、誘導 選別した通信をハニーポットに集約 Internet
※ O/F：OpenFlow 選別した通信をハニーポットに集約 ポート番号 送信元IPアドレス dshield.org が 公開している ブラックリスト O/F Controller O/Fスイッチ1 ホスト Internet O/Fスイッチｎ 機能の独立 スケールアウト可能 Controller制御 柔軟かつ動的なポリシー ハニーポット 柔軟かつ安定したセキュアなシステム NEC-早大技術交流会 2011/12/26

9 実証実験：概要 攻撃通信をhping3、正常な通信をiperfで再現 比較実験項目 実験環境
hping3： pingライクなパケット生成ツール ポートスキャン、スパムによる攻撃（送信元IPアドレスの偽造） iperf：トラヒック発生ツール ファイルダウンロード、スループットの測定 比較実験項目 収集率の比較 スループットの比較 （平均スループット、分散） 実験環境 仮想サーバ上に仮想ネットワークを構築 NEC-早大技術交流会 2011/12/26

10 悪意のある通信の再現 ポートスキャンとIPスプーフィングを利用 iperf hping3
悪意のある通信の再現　 hping3 icmp プロトコルで動作するping ライクなコマンド 多種様々なパケットの生成が可能 ポートスキャンとIPスプーフィングを利用 　　　　　　　　　　　※IPスプーフィング：送信元IPアドレスの偽造 iperf 擬似トラフィック生成ツール ファイルダウンロードやスループットの測定 サーバ/クライアント方式で動作 　　　　　1Mbyteのファイルダウンロードを利用 測定はしばらく時間を置いて、通信が安定してから行う NEC-早大技術交流会 2011/12/26

11 実証実験：基本構成と詳細 サーバ‐ホスト間に2つのトラフィックによる通信を観測 収集率 ：攻撃通信がハニーポットに流れた割合
※ O/F：OpenFlow サーバ‐ホスト間に2つのトラフィックによる通信を観測 収集率　　 　：攻撃通信がハニーポットに流れた割合 スループット：サーバ‐ホスト間を測定 O/F Controller ホスト O/Fスイッチ1 サーバ O/Fスイッチ２ 正常な通信：iperf 攻撃通信　 ：hping3 ハニーポット NEC-早大技術交流会 2011/12/26

12 実験環境：既存手法 ルータにポリシーを与え検知した通信をハニーポットに集約 特定のポート番号を元にルーティング
Iptablesとiproute2を組み合わせる ポリシルータ ポート番号による ポリシールーティング ホスト サーバ ポリシルータ ハニーポット NEC-早大技術交流会 2011/12/26

13 ポリシールーティングの構成図 iproute2とiptablesを組み合わせることで ポリシーを設定し、転送を行う ホスト サーバ
NEC-早大技術交流会 2011/12/26

14 実験環境：提案手法 ポリシーやコントローラの制御により悪意のある通信を選別 Internet 更新 ホスト サーバ 送信元IPアドレス
※ O/F：OpenFlow ポリシーやコントローラの制御により悪意のある通信を選別 送信元IPアドレス ポートポリシー O/F Controller 更新 ホスト Internet O/Fスイッチ1 サーバ O/Fスイッチ２ ハニーポット NEC-早大技術交流会 2011/12/26

15 使用したポリシー ポート番号 ブラックリスト nepenthesが対応、検知するポート番号 18種類
参考：インターネット治安情勢　2010年7～9月 合計　27種類 ブラックリスト Dshield.org が提供 ホストのIPアドレス群 スキャンや不正アクセス 上位100件を使用 NEC-早大技術交流会 2011/12/26

16 +22.1％ 実験結果１：収集率 悪意のある全トラフィックから、集約した通信の割合 ポート番号のみ ポート番号+IPブラックリスト
NEC-早大技術交流会 2011/12/26

17 実験結果２：平均スループット 既存手法 提案手法 スループットの ばらつきが少ない 平均スループット 分散 (Mbps) 13.95
0.56 提案手法 12.71 0.35 スループットの ばらつきが少ない NEC-早大技術交流会 2011/12/26

18 安定した広域通信での通信集約システム まとめ OpenFlowによる通信選別手法 集約率に大きな改善 安定したスループット
　　　　　　　提案手法に優位性、実用性 OpenFlowによる通信選別手法 集約率に大きな改善 安定したスループット NEC-早大技術交流会 2011/12/26

19 今後の課題 3. 実機での検証 1. より精度の高いポリシーを検討 2. 比較対象の検討 - vyattaなどの仮想ルータとの比較
より動的で柔軟なポリシーの設定 2. 比較対象の検討 - vyattaなどの仮想ルータとの比較 今回はopenvswitchを使用 - OpenFlowスイッチとの比較 ポリシルータではなく、既存のOpenFlowスイッチで 複数種類の手法を検討 3. 実機での検証 今回は仮想環境での実験 NEC-早大技術交流会 2011/12/26

20 ご清聴ありがとうございました NEC-早大技術交流会 2011/12/26

21 補足資料 NEC-早大技術交流会 2011/12/26

22 OpenFlow フロー単位で処理を行うオープンソースのスイッチ スイッチの機能をスイッチ部とコントローラ部に分割
コントローラでの制御一括管理 より柔軟な対応が可能（動的なパラメータの変更） OpenFlow スイッチ Controller Rule Action Stats CSS2011 2011/10/20

23 OpenFlowの制御とその特徴 スイッチとコントローラによる機能分離 各種ヘッダ情報の書き換え
SW（コントローラ）で処理方法を決定 HW（スイッチ）で通信の処理 一つのコントローラで複数のOpenFlowスイッチを 制御することが可能 各種ヘッダ情報の書き換え ポート番号、IPアドレス、MACアドレスなど レイヤ4以下のヘッダ情報は書き換えが可能 任意のヘッダを挿入することも可能 　高速で柔軟なネットワーク環境が実現可能 Rule Action Stats CSS2011 2011/10/20

24 きめ細かい通信制御や 柔軟な設計や構築が可能
フローの定義 レイヤ4以下の情報の組み合わせで定義 受信したスイッチの物理ポート 宛先MACアドレス、送信元MACアドレス Etherタイプ VLANタグID VLANプライオリティ 宛先IPアドレス、送信元IPアドレス プロトコル番号 ToS (Type of Service) 宛先ポート番号、送信元ポート番号 通信をフローとして扱う きめ細かい通信制御や 柔軟な設計や構築が可能 ※ OpenFlow v1.2からIPv6も対応 CSS2011 2011/10/20

25 フローの定義とフローテーブルの構成 フローの定義 CSS2011 2011/10/20
通信をフローとして扱う　⇨　きめ細かい通信制御や柔軟な設計や構築が可能 CSS2011 2011/10/20

26 OpenFlowの動作 SW HW OpenFlow controller OpenFlow switch OpenFlow
protocol SW Secure channel 3. 処理を決定 Rule Action Stats 4. 処理をフローテーブルに登録し パケットの処理を行う HW Flow table 5. 以降同じパケットは 　 同様に転送される 1. 最初のパケットを送信 2. フローテーブル未登録より 　 コントローラへパケットを転送 要修正：図をオリジナルなものに変更 CSS2011 2011/10/20

27 2103/TCP, 2105/TCP, 2107/TCP, 3372/TCP, 3389/TCP, 5000/TCP, 6129/TCP,
ポート番号の選定 Nepenthesが検知するポート番号が基準 21/TCP, 23/TCP, 25/TCP, 42/TCP, 80/TCP, 110/TCP, 135/TCP, 139/TCP, 143/TCP, 443/TCP, 445/TCP, 465/TCP, 993/TCP, 995/TCP, 1023/TCP, 1025/TCP, 1433/TCP, 2103/TCP, 2105/TCP, 2107/TCP, 3372/TCP, 3389/TCP, 5000/TCP, 6129/TCP, 9415/TCP, 10000/TCP CSS2011 2011/10/20

28 関連研究：ポリシールーティングを用いた ネットワークハニーポットの構築 白畑真, 南政樹,村井純（慶応義塾大学, 情報処理学会研究報告, p
関連研究：ポリシールーティングを用いた 　　　　　　　ネットワークハニーポットの構築 白畑真, 南政樹,村井純（慶応義塾大学, 情報処理学会研究報告, p.p, ） ルータにポリシーを与え攻撃種類に応じて適切なハニーポットに分別 特定のポート番号を元にルーティング 複数種類のハニーポットを活用 Darknet 使用していない IPアドレス空間 ハニーポット（複数種類） Internet 複数種類のハニーポットの特性を 活かすことが可能 ポリシルータ ポート番号による ポリシールーティング CSS2011 2011/10/20

29 ！ ポート番号によるポリシールーティング 指定したポート番号は ハニーポットへ転送 →スイッチ側で制御 ホスト群 ハニーポット
※ O/F：OpenFlow Controller ！ ルール アクション ステート O/Fスイッチ1 ホスト群 サーバ O/Fスイッチn ハニーポット CSS2011 2011/10/20

30 ? ！ 動作例（ハニーポットへ誘導） スイッチ部のポリシーとコントローラ制御により悪意のある通信を選別 Internet
rule action stats ? Controller O/Fスイッチ1 ホスト Internet IPアドレス,MACアドレス 書き換え 1. O/Fスイッチにパケットが到着 2. フローテーブルにないので 　　controllerに転送し、問い合わせ ！ O/Fスイッチ２ 3. 以降ハニーポットへ転送、誘導 4. 通信によっては代理で応答を返す ※ O/F：OpenFlow ハニーポット CSS2011 2011/10/20

31 ハニーポット マルウェア収集のため脆弱性の存在するホストを エミュレートするサーバーやネットワーク機器 ローインタラクションハニーポット
　 エミュレートするサーバーやネットワーク機器 ローインタラクションハニーポット 脆弱性があるOS やアプリケーションの反応をエミュレートすることで マルウェア収集 代表例：nepenthes ←本研究で使用 ハイインタラクションハニーポット 脆弱性がある本物のOS やアプリケーションを用いて構築 CSS2011 2011/10/20

32 現在の取り組み コントローラの制御に機械学習を導入 より柔軟で精密に悪意のある通信を選別 Internet ホスト 送信元IPアドレス
※ O/F：OpenFlow コントローラの制御に機械学習を導入 より柔軟で精密に悪意のある通信を選別 学習＆判定モジュール 送信元IPアドレス ポートポリシー Controller ホスト Internet O/Fスイッチ ハニーポット CSS2011 2011/10/20

33 現在の取り組み：将来像 コントローラの機械学習による制御とIDSの連携 通知⇨学習⇨フィードバックによる循環システム Internet 通知
※ O/F：OpenFlow コントローラの機械学習による制御とIDSの連携 通知⇨学習⇨フィードバックによる循環システム 学習＆判定モジュール Controller 通知 IDS フィードバック ホスト Internet O/Fスイッチ ハニーポット CSS2011 2011/10/20