Transcript slide (PowerPoint)

異常検知システムにおける
正常動作データのモジュール化
大山恵弘 （科学技術振興事業団）
王維
（筑波大学）
加藤和彦 （筑波大学・科学技術振興事業団）
2002/11/19
コンピュータシステム・シンポジウム
1
研究の背景

セキュリティへの脅威が依然として存在


ウィルス、トロイの木馬、Buggyなプログラム
対策

脆弱性の除去：


異常の早期発見：

2002/11/19
Non-executable stack、型安全な言語、…
アンチウィルス、侵入検知システム、…
コンピュータシステム・シンポジウム
2
侵入検知システム
「異常」のDBを保持 「正常」のDBを保持
ネットワーク
を監視
ホストの動作
を監視
多くの
Network IDS
アンチウィルス
ホストベース
異常検知システム
異常検知システム

基本アイデア




プログラムの正しい動きを表現するDB
（正常動作データ）を作成
プログラムの実行を監視
正常動作データに合わない実行 ＝ 異常
長所

未知の攻撃・異常を検知可能
本研究の目的

独立したコンポーネントを組み合わせた
アプリケーションに適した異常検知システム

ライブラリ、モジュール、外部プログラム、、、
発表の流れ





既存の異常検知システム（３分）
SQUIDS: 我々の異常検知システム（９分）
実験結果（４分）
関連研究（１分）
結論と今後の課題（2分）
2002/11/19
コンピュータシステム・シンポジウム
6
正常動作データ

材料？





パケットの内容
バッファの内容
キーストローク
システムコール
作成方法？



ソースコードから自動生成する
人間が全部書く
機械学習させる
近年活発に
研究されている
システムコール列の学習に基づく
異常検知システム

正常動作データの作り方



実際に発行されたシステムコール列を記録
記録された動作を一般化
既存システム



2002/11/19
計算機免疫系 [Hofmeyr et al. ’98]
オートマトンの自動生成 [Sekar et al. ’01]
テキスト分類による方法 [Liao et al. ’02]
コンピュータシステム・シンポジウム
8
既存の方法 [Sekar et al. ’01]


訓練モード：
 システムコールでアプリケーション停止
 システムコール、PC等の情報を記録
 オートマトン（正常動作データ）作成
検査モード：
 システムコールでアプリケーション停止
 実行がオートマトンに合っているか検査
既存の方法 [Sekar et al. ’01]
httpd
read
0x600412dc
open
0x3fc08070
fstat
0x3fc08094
mmap
0x600412dc
write
0x600412dc
…
既存の異常検知システムの特徴

アプリケーションごとに「正常」を定義




計算機免疫系 [Hofmeyr et al. ’98]
オートマトンの自動生成 [Sekar et al. ’01]
テキスト分類による方法 [Liao et al. ’02]
etc.
我々の着眼


アプリケーション = コンポーネントの集合体
「アプリケーションってどこからどこまで？」




UNLHA.DLLはアプリケーションに含まれるんでしょうか？
VBランタイムは？ libgtkは？ libxmlは？
ライブラリを変えたら、アプリケーションの正常動作データは
使えなくなる？ それはいやだ！
「結合されるコンポーネントが実行時に初めて決まる
アプリケーションもありますよ」

2002/11/19
臨機応変に動的リンクするアプリケーションでは、「正常」も
めまぐるしく変わるぞ！
コンピュータシステム・シンポジウム
12
我々のアプローチ

鍵アイデア：
コンポーネントごとに正常動作データを作る

正常動作をオートマトンで表現

Sekarの方法をベースに設計
異常検知システムSQUIDS
© Heather Bruton
直感的なイメージ（１）
キメラの正しい動作を
どう記述するか？
© Chimera project in CMU
キメラの動作が正常 ＝
ライオンの動作が正常
∧ 羊の動作が正常
∧ 蛇の動作が正常
∧ 動物間の相互作用が正常
直感的なイメージ（２）
mod_ssl
libc
httpd
mod_perl
アプリケーションの動作が正常 ＝
各コンポーネントの動作が正常
∧ コンポーネント間の相互作用が正常
SQUIDSが作る正常動作データ

現在は共有ライブラリ境界をコンポーネント
境界として使用
SQUIDSが作る正常動作データ
libc
httpd
libc:fopen
0x3fc08070
…
stat
open
libc:fread
0x3fc08094
…
fread
mmap
…
libapr:xxx
0x600412dc
fopen
…
read
SQUIDSのセールスポイント

各コンポーネントの正常動作データを
再利用できる


正常動作データの作成・維持の手間を軽減
異常の場所をピンポイントに特定できる
2002/11/19
コンピュータシステム・シンポジウム
18
再利用
mod_ssl
libc
my_libc
httpd
mod_perl
再利用
mod_ssl
libc
my_libc
httpd
mod_perl
正常動作データcarryingライブラリ
再利用
httpd
mod_ssl
libc
my_libc
どこかの誰かが作った
データを再利用
mod_perl
以降も使用可
ピンポイント異常特定

既存のシステム（ex. 計算機免疫系）


「どこの部分がどう悪いのかわかりませんが、
とにかく異常が発生したみたいです」
SQUIDS



「libc.so:fopenの内部の動きが異常です」
「httpdでPCが0xef804から0x62eda0に
遷移してますが、それは異常です」
「httpdがlibgtkを呼ぶ異常が発生してます」
スタックとオートマトンの対応づけ
0x123c
fopen
fprintf
open
…
fopen
…
fopen
0x123c
…
open
httpd
実装の詳細（１）



環境: Linux/x86
我々が作ったloadable kernel module
によりシステムコールフックを実現
プロセスをfork


2002/11/19
親プロセス：監視
子プロセス：アプリケーションを実行
コンピュータシステム・シンポジウム
24
実装の詳細（２）

procfsの情報を使って、アプリケーションの
フレームと共有ライブラリのフレームを区別



mmap-edメモリ内のPC ＝ 共有ライブラリ
nmコマンドの出力情報に基づいて、PCから
関数名を取得
brkシステムコールは無視
2002/11/19
コンピュータシステム・シンポジウム
25
実験

Redhat Linux 7.1 on i386



Kernel 2.4.7, glibc 2.2.4
スタンドアロンマシンでhttpd, ftpd, sshd
を実行
２つを比較


Sekarの方法: アプリケーションごとにオートマトン作成
我々の方法: コンポーネントごとにオートマトン作成
ライブラリのオートマトンの再利用
httpdの実行で作った
httpdバイナリの
正常動作データ
ftpdとsshdの実行で
作った、共有ライブラリの
正常動作データ
合体！
httpd全体の
正常動作データ
これを初期データとして
正常動作データを作成
結果
ftpdとsshdの実行で
作った正常動作データ
•libc: 671枝
•非libcライブラリ: 389枝
httpdの実行で追加
された正常動作データ
+
httpdの正常動作を表現するデータ：
libcに関して 98.1%
非libcライブラリに関して 93.7%
がftpd, sshdと共有されている
•libc: 13枝
•非libcライブラリ: 26枝
正常動作データの
再利用は現実的
異常の検知率

人工的に異常を発生させた効果を作りつつ
httpdを実行

システムコールを10回に1回別のものに変更
httpd
ftpd
sshd
Sekarの方法 943/949
(99.4%)
426/429
(99.3%)
3411/3480
(98.0%)
938/949
(98.8%)
424/429
(98.8%)
3369/3480
(96.8%)
我々の方法
偽警報(false alarm)の数

httpdを異常検知しながら実行



Mozillaで様々な要求を発行
httpdは全部で8000回システムコールを実行
結果


2002/11/19
Sekarの方法: 62回（0.8%）
我々の方法: 30回（0.4%）
コンピュータシステム・シンポジウム
30
異常検知の導入によるhttpdの
スループットの低下
httpdと同じホストでの
wget –r http://localhost:8080/
の完了にかかる時間を測定
50
40
実行時間（秒）

30
20
10
0
異常検知なし
異常検知あり
正常動作データの総サイズ
オートマトンの枝数
3000
libraries
sshd w/o ibs
ftpd w/o libs
httpd w/o libs
sshd
ftpd
httpd
2000
1000
0
monolithic
approach
our approach
関連研究（１）

[Sekar et al. ’01]



アプリケーション１つにオートマトン1つ
どの部分がどう異常なのかの把握が困難
システムコールだけを見る異常検知


[Wagner et al. ’01], [Hofmeyr et al. ’98],
[Liao et al ’02]
スタックが壊れても、システムコール列が正常なら
正常と判断
→ 我々の方式に比べmimicry attackを受けやすい
関連研究（２）

資源へのアクセス制御ポリシーの動的切り替え



SubDomain [Cowan et al. ’00]
細粒度保護ドメイン [品川ら ’01]
[阿部ら ’02]
我々のシステムでは、アクセス制御ポリシーでなく、
プログラムの制御の遷移のポリシーを切り替える
まとめ

正常動作データのモジュール化法を提案

その方法の有効性を実験で評価



2002/11/19
異常検知率の低下は小さい
現在、体感できる位のオーバヘッドあり
共有ライブラリの正常動作データを複数の
アプリケーションで使い回すことは現実的
コンピュータシステム・シンポジウム
35
今後の課題

より現実的な環境で実験


例: 日常業務に実際に使用しているサーバ
共有ライブラリ以外の境界をコンポーネント
境界として使えるよう拡張


2002/11/19
静的リンクの境界
コードの作者、出所の境界
コンピュータシステム・シンポジウム
36
（大上段に構えた）本研究の主張
独立コンポーネントの集合体の実行は
独立ポリシーの集合体で縛るべき
質疑応答スライド
議論（１）

システムコールを呼び出さないライブラリ
関数のチェックは？


→ しません
正常動作データをモジュール化すると、
検知率が落ちる？

→ はい。ほんの少しだけ。
議論（２）

そもそも何を異常と定義しているのか？

→ 正常動作データにない動作すべて
Semanticsに
違反する動作
正常動作データに
ない動作
レアパスの実行など