Transcript 戦略的情報通信研究開発推進制度（SCOPE) 仮想センサによる

戦略的情報通信研究開発推進制度（SCOPE)
仮想センサによる
インターネット広域脅威検知技術の研究開発
2009年3月10日
後藤滋樹
村瀬一郎
鈴木裕信
早稲田大学 理工学術院
1
内容
•
•
1.
2.
3.
4.
5.
6.
7.
背景と目的
研究開発の概要
技術的・学術的な知見向上
目標、計画
予算計画、実施体制
イノベーション促進
総務省が示す政策との整合性
ICT安心・安全の確保
競争的資金による優れた研究の継続
2
・ 背景と目的
• ボットネットの攻撃手法の巧妙化、高速な進化
• 攻撃を迅速かつ高精度で検出
 世界規模の広域観測が不可欠
• IPv6の進展により、観測空間が広大になる
• 物理センサは台数に制約あり、新たな観測手法が必要
エネルギー消費、機器コスト、メンテナンスコストの増大
• 観測IPアドレスの確保が困難
• ユビキタスネットワーク、モバイル機器の普及
 動的ネットワーク環境でシームレスな観測が必要
仮想センサに基く新しい広域脅威観測技術
3
従来手法との比較
従来は物理センサを利用
本提案は仮想センサ
従来の脅威観測法
本提案による新しい脅威観測法
末端IPアドレスで観測
インターネット
・
・
・
中継ルータで観測
IPv6
ユビキタス・モバイル
インターネット
ユビキタスネットワーク
社会への移行
クライアントPC
・
・
・
中核ルータ
モバイル
未
観
測
情報家電
攻撃元
（ボット、ワーム等）
攻撃元
（ボット、ワーム等）
物理リソースの制約
IPアドレス確保の困難
センサの偏り
モバイル非対応
物理センサ
(数十台程度)
物理リソースの制約無し
IPアドレス確保が不要
広域観測観測
モバイル・ユビキタスシームレス
存在しないホスト
仮想センサ
(60,000台以上相当)
4
・ 研究開発の概要
インターネット上の中継ルータにおけるネットワークフロー
を解析することにより、ワームやボットなどの攻撃を広大な
IPアドレス空間において検知する技術を開発する。従来の
観測法では末端のIPアドレスにおける物理的な観測セン
サを設置するため、観測範囲に制約があった。提案技術
（仮想センサ）は、末端IPアドレスに物理的なセンサを用い
る必要が無い。この特徴を活かして、将来の広大なIPv6
アドレス空間においても、モバイル機器などが混在するユ
ビキタスネットワークに対して、シームレスで広域的な脅威
検知が可能になる。
5
研究内容説明図
［様式３]
仮想センサによるインターネット広域脅威検知技術の研究開発
研究目的
インターネット上の中核ルータにおけるネットワークフローデータを解析することにより、従来の物理センサでは実現困難な広域のIPアドレス空間にお
ける不正パケットを検出し、その分布の変化からインターネット上の脅威を早期に検知する技術を開発する。
研究開発の概要
中核ルータのネットワークフローデータで観測される送受信関係の時間推移を状態遷移システムを用いて解析し、大規模な仮想的なインターネット脅
威検知センサ網を構成する。検知された脅威情報に基づく、不正なトラフィックの遮断、ゼロデイ攻撃の対象となるソフトウェア脆弱性の発見抽出のた
めの支援情報を提供する。
IPv6
広域観測
ユビキタス・モバイル環境
のシームレス観測
中継ルータで観測
期待される研究成果
インターネット
・
・
・
クライアントPC
モバイル
中継ルータ
・
・
・
情報家電
確率状態遷移システム
仮想センサー
候補
未判定ホスト
タイマTS1
攻撃元
（ボット、ワーム等）
送信元IP
送信元IP
タイマTS2
無応答N回
リミットタイムTR
社会的意義
IPv6をベースとするユビキタ
スネットワーク社会において、
従来の物理観測センサでは
実現が困難とされていた広
域のインターネット脅威観測
システムを構築し、深刻な
ネットワーク被害を未然に防
ぐための基盤が確立される。
仮想センサ網
の構築
フロー観測
送信先IP
少ないリソースで、広域的な
仮想センサ網を構築し、イン
ターネット上の脅威を早期に
検知する。
攻撃M回
リミットタイムTR
存在しないホスト
ライフタイムTL
仮想センサ
へ送信
送信ホスト
仮想センサ
へ送信
送信元IP
仮想センサー
タイマTS3
攻撃ホスト
観測アドレスの
仮想センサ
(50,000台以上相当) 確保が不要
仮想センサー、仮想センサー候補から
攻撃ホストへの状態遷移あり
6
研究開発目標 達成方法
• 中継ルータにおけるNetFlowデータに対して、
確率的状態遷移システムに基く解析を適用し、
仮想センサの抽出、不正パケットの検出を行
う（広域仮想脅威検知技術 ）
• 同様の技術を組織のゲートウェイに適用し、
局所的な高精度脅威検知技術を実現
• 広域仮想脅威検知技術 と局所高精度脅威
検知技術を統合し、広域かつ高精度の脅威
検知技術を実現する
7
仮想センサ検出
状態遷移
フロー観測
送信先IP
仮想センサ
候補
未判定ホスト
タイマTS1
送信元IP
送信元IP
タイマTS2
無応答N回
リミットタイムTR
攻撃M回
リミットタイムTR
ライフタイムTL
仮想センサ
へ送信
送信ホスト
仮想センサ
へ送信
送信元IP
仮想センサ
タイマTS3
攻撃ホスト
仮想センサー、仮想センサー候補から
攻撃ホストへの状態遷移あり
8
広域観測と局所観測
ゲートウェイ
局所観測
（全フローデータ）
不正なホスト
中継ルータ
広域観測
（サンプリングデータ）
組織LAN
非対称経路
• 中継ルータが観測するフローは非対称かもしれない
9
具体的な観測対象
• 広域観測と局所観測
広域観測
（サンプリングデータ）
APANネットワーク
ゲートウェイ
中継ルータ
局所観測
（全フローデータ）
早稲田大学LAN
不正なホスト
SINET
非対称経路
10
広域と局所高精度脅威検知技術の関係
• 双方の優位な情報を共有する
広域の全体像を把握
（IPアドレス空間）
広域脅威検知
局所的な正確な状況把握
高精度な仮想センサ情報
広域的な攻撃元の情報
サンプリングデータ解析
ノイズが多い
局所高精度
脅威検知
全フローデータ解析
ノイズが少ない
11
１．技術的・学術的な貢献
• 新規性・革新性等：
従来の物理センサーによる脅威観測に対して、中継ルータのネットワー
クフロー解析により、仮想的に脅威観測を行うことで、以下の効果をもた
らす：
– 物理センサ資源に制限されない広大なIP空間の観測が可能
– ユビキタス・モバイル環境における動的なネットワークの観測が可能
– 末端の物理センサを除去することで、大幅な省エネルギー効果が得られ環
境保護に貢献
• 情報通信技術の発展への貢献：
– 世界規模の広域で大規模なインターネット上の不正パケットデータを蓄積す
ることが可能となり、脅威検知技術の研究開発を促進する。
– トラフィック解析技術の向上により、QoS、ネットワーク構成の最適化などの
研究開発を促進する。
– IETF国際標準IPFIX(RFC 3955標準)に基く汎用なフローデータ形式から、
異常系および正常系のフローを分離する技術を提供することで、トラフィック
解析の研究開発のための共通基盤を確立する。
12
２．目標・計画
• 仮想センサにより60,000IPアドレス以上の広域観測を達成。
– IP空間全体をカバーする65,536個の/16ネットワークブロックを観測
できれば、世界規模の脅威変動を分析できる。
– 予備実験により、同程度の観測が可能である見通しが立っている。
• 局所脅威検知技術において組織内の高精度脅威観測を
64IPアドレス程度について達成。
– 根拠：早稲田大学のIPアドレス空間は、クラスBの65,536アドレスで
ある。実際に割り当てられているアドレスはこれより少ないが、この空
間全体の1/100程度のアドレスについて高精度の脅威観測ができれ
ば、そこで観測された不正パケットの送信元IPアドレスから、広域脅
威観測の精度向上に有効と考えられる。
13
３．予算計画、実施体制
• 予算
研究機材をリース
研究補助員
ダークファイバを利用（早稲田大学＝大手町）
国際会議への参加
ソフトウェアを外注
• 実施体制
早稲田大学 理工学術院 基幹理工学部
早稲田大学 理工学術院 総合研究所（理工学研究所）
14
４．イノベーション促進
•
•
•
•
仮想センサの実用化に際して、攻撃ホストの判定精度を高めることが重要。本提
案では、要素技術における「状態遷移システム」を拡張し、「攻撃ホスト」を判定す
る状態を追加する。
拡張した脅威検知技術を、実際の国際規模のネットワーク・テストベッド(APAN,
JGN2plusを含む)および早稲田大学の構内ネットワークに適用し、広域脅威検
知技術および局所高精度仮想観測技術の実証実験を行う
日本の全上場企業について、インシデントによる情報漏洩等の潜在的な損害リス
クの総額は29兆円 と見積もられている。本技術の実用化により、Symantec,
LAC, CA等が運営するセキュリティ・オペレーション・センター(SOC)や、政府機
関・民間企業が設置するインシデント・レスポンス・チーム(CSIRT)等のセキュリ
ティ対策機関における利用が見込まれる。本技術により、インターネット上の観測
できるアドレス空間は、数十程度から数万程度へと1000倍程度の飛躍的な拡大
が可能となり、脅威発生時のトラフィック遮断や感染ホストへのパッチ適用など早
期に実施できる。
仮想センサの実用化により、インシデントの発生リスクの低減されることで、eコ
マースの拡大にも寄与する。日本のB2Cビジネスの市場規模は4兆4000億円 と
されている。本技術の普及により、インターネット上の脅威低減によりeコマース
市場は2割程度押し上げることが期待される。
15
５．総務省の政策との整合性
• UNS 研究開発戦略プログラムII
５．セキュアネットワーク
５－２ ネットワーク運用管理技術
UNS 研究開発戦略プログラムII
本研究開発の関連領域
サイバー攻撃を検知して、以後に発生する本格的なサイバー攻撃を予知する技術の確立
16
ＵＮＳ戦略プログラムⅡ
• 「ＩＣＴ研究開発戦略～ＵＮＳ戦略プログラムⅡ」
総務省 情報通信国際戦略局 ２００８年８月
http://www.kiai.gr.jp/PDF/soukai2008/kodama_d0711.pdf
• 研究開発を支えていく人材の育成・活用
新たな事業分野の創出を主導できるような研究開発人材
（ＩＴイノベーションリーダ）の育成
• 本提案に先立つＳＣＯＰＥ課題での実績
石黒正揮（学位取得, 北陸先端大学院大学）
下田晃弘（修士１年から飛び級で博士課程, 早稲田大学）
17
ＵＮＳ戦略プログラム：人材
•
•
•
•
•
•
Masaki Ishiguro, Hironobu Suzuki, Ichiro Murase, Hiroyuki Ohno, Internet
Threat Detection System Using Bayesian Estimation, 16th Annual FIRST
Conference on Computer Security Incident Handling, 2004.
石黒 正揮, 鈴木 裕信, 村瀬 一郎, "ウェーブレット解析を用いた周波数成分変化
に基づくインターネット脅威検出法”, 暗号と情報セキュリティシンポジウム2006.
石黒 正揮, 鈴木 裕信, 村瀬 一郎, 篠田 陽一, インターネット上の脅威分析を支
援する空間および時間的な特徴量に基づく分析手法, 情報処理学会論文誌
Vol.48, Number 9, pp.3148-3162, Sep. 2007.
Masaki Ishiguro, Hironobu Suzuki, Yoichi Shinoda, Ichiro Murase, Shigeki
Goto, An Internet Threat Evaluation Method based on Access Graph of
Malicious Packets, 19th Annual FIRST Security Conference, 2007
Akihiro Shimoda, Shigeki Goto, Virtual Dark IP for Internet Threat Detection,
In Proceedings of APAN Network Research Workshop 2007, pp.17-24, Aug.
2007.
下田晃弘, 後藤滋樹, フローデータからのDark IP 抽出による脅威観測法、電子
情報通信学会論文誌, Vol.J92-B, No.1, pp.163--173, 2009年1月.
18
６．ICT安心・安全技術
• ワーム、ボットネットなど、インターネット上の深刻な
脅威を検出し、ネットワークのブロック、脆弱性対策
を促すことで、インターネットの安全性を向上させる
19
７．競争的資金による研究の継続
1. 科学技術振興調整費（文部科学省）
平成１６～１８年度
「セキュリティ情報の分析と共有システムの開発」
2. 経済産業省 新世代情報セキュリティ研究開発事業
平成１７～１８年度
「アクセスグラフに基づくボットネット検出技術の研究
開発」
3. 総務省 ＳＣＯＰＥ 次世代ネットワーク技術
平成１７～１９年度
「インターネット広域観測による次世代攻撃検知技術
に関する研究開発」（物理センサ）
20
補足資料
21
従来の物理センサ
インターネット
物理センサ
攻撃元
物理センサ
攻撃元
物理センサ
攻撃元
インバウンド・パケットは全通過
不正な通信パケット
観測専用
攻撃元
応答無し
ファイアーウォール
アウトバウンド・パケットは全遮断
従来の物理センサ
(Dark IP)
22
仮想センサ
ネットワークサーバ
正常な通信パケット
正常な通信元
中継ルータ（観測点）
サービスを提供しないホスト
（クライアントPCなど）
不正な通信パケット
（リクエストに対する応答無し）
ワーム、攻撃元ホスト、
設定に不備のあるホスト
など
実在しないホスト
仮想センサ
23
TCP/IPコネクション確立
クライアント
INIT
SYN SENT
サーバ
①syn
② syn + ack
③ ack
ESTABLISHED
FIN WAIT
セッション通信
④ fin
SYN RECVD
ESTABLISHED
⑤ ack
CLOSING
CLOSED
パケットフラグ
状態遷移
CLOSED
状態遷移
LISTEN
24