Transcript NIDS
A Research of Efficient Network-based IDS Operation Masayoshi MIZUTANI (mizutani@SING) Introduction (1/4) はじめに • 本研究の目的(NIDSの運用効率化) – セキュリティイベントのリスク評価可能性の向上 – 膨大なログの迅速な解析 • 関連するセキュリティイベントの抽出 • 発生頻度,発生パターンの分析によるインシデントの発見 • 本研究の内容 – 応答の監視によるリスク評価型NIDS – OS情報にもとづいたイベントリスク評価システム – セキュリティイベントログの視覚化 THE ZEN of NETWORK SOLUTION Introduction (2/4) 定義 • インシデント – ネットワークを通じて被害を起こそうとする行為 – 機密性,完全性,可用性,組織的な信頼の侵害 • セキュリティイベント – インシデントを構成する要素 – NIDSで検知される事象の単位 • • • • バックドアへのアクセス ポートスキャン サービス調査 攻撃コードの送信 目標ホスト ポートスキャン サービス調査 バックドアアク セス 攻撃者 THE ZEN of NETWORK SOLUTION インシデント エクスプロイト コードの送信 セキュリティ イベント セキュリティ イベント セキュリティ イベント セキュリティ イベント Introduction (3/4) NIDS • Network-based Intrusion Detection System • NIDS運用の目的 – 危険なインシデントの早期発見 – インシデント発見後の迅速な調査 External Network NIDS Internal Network THE ZEN of NETWORK SOLUTION Introduction (4/4) NIDSの実態 • 既存の研究 – False Positive, False Negativeの削減 – Evasion攻撃,かく乱攻撃の対策 – 近年はSIM, Target-based IDSに着目 • RG-Netにおける運用 – 被害をおよぼすインシデントの発見事例 • 外部へのウィルスの感染活動(2005年12月1日) • 外部へのマルウェアによるスキャン活動(2005年10月11日) – 事後対策時の調査が中心 • rg-gate侵入事件(2005年8月30日) THE ZEN of NETWORK SOLUTION NIDS Issues (1/2) 自動リスク評価ができないイベントの問題 what effect a “attack” has on the network and hosts ?? Detected “Attack” NIDS ホストにログインしての調査 Operator 他のセキュリティデバイスを 利用した調査 無視! (Attack Traffic) 危険なイベントを 放置する可能性 ? ? 宛先ホスト THE ZEN of NETWORK SOLUTION 負担大 NIDS Issues (2/2) イベントの発生状況把握における問題 List Graph 21:23:32 Port Scan 21:23:45 EXPLOIT MS04-007 Kill-Bill ASN1 22:22:34 SNMP access, public 22:23:42 WIN-RPC Messenger service 22:32:13 Spambot Proxy Control Channel 22:34:12 EXPLOIT MS04-007 Kill-Bill ASN1 22:34:13 MS-SQL version overflow attempt 22:34:54 P2P ed2k connection to server 22:54:34 WEB-MISC robots.txt access THE ZEN of NETWORK SOLUTION 21:00 4 hours 22:00 Average: 23:00 68,401 EVENTS / DAY in RG-Net 2005/1~2005/12 Approach 運用効率化のための戦略 応答を監視して攻撃や 調査の結果を自動判断 無効なOSに対しての 攻撃は低リスクと判断 低リスクなイ ベントを除外 調査負担の削減 Network Traffic 解析 Sessionbased NIDS OS based Risk Evaluation System 自動作業 手動作業 多様なセキュリティイベントの自動リスク評価 膨大なセキュリティイベントログの要約化 膨大なログの視覚 化による要約 Log Security Events Log Visualizer THE ZEN of NETWORK SOLUTION 迅速な全体像 把握&関連イ ベントの抽出 1. Session-based NIDS (1/2) セッション追跡によるリスク評価型NIDS Conventional IDS Attack Exploit Code Attack Error Message Attacker Target Exploit Code Attack is failure Attack is succeeded Session-based IDS THE ZEN of NETWORK SOLUTION Unknown Response Target 1. Session-based NIDS (2/2) S-NIDSによるリスク評価結果 2004年01月12日 03時30分~2004年01月16日 20時20分 Session-based NIDSを用いてRG-Netで監視 - CodeRed II Backdoor Access: HTTPによるGET Request 応答コードが404,403なら失敗,それ以外は成功とするルールを記述 - Windows netbios name query: 名前検索のリクエスト 応答があれば成功,なければ失敗と判定するルールを記述 検知数 CodeRed II Backdoor Access Windows netbios name query THE ZEN of NETWORK SOLUTION 571 59764 成功判定 27 (4.7%) 失敗判定 544 (95.3%) 2926 (4.9%) 56838 (95.1%) 2. OS based Risk Evaluation System (1/2) OS情報に基づいたリスク評価システム DHCP Discover Exploit Code For Windows Target (Windows) Exploit Code For Windows Attacker OS DB Attack is Risky Attack is No Risk OS based Risk Evaluation System THE ZEN of NETWORK SOLUTION DHCP DHCP gazer Discover Target (Linux) OS Allocation Information 2. OS based Risk Evaluation System (2/2) 低リスクイベントの削減 セキュリティイベント名 MS-SQL version overflow attempt 検知数 低リスクイベン トの割合 低リスク 12419 10510 84.63% 188 144 76.60% 22 14 63.64% CISCO IOS exploit tool (shadowcode) 3 3 100.0% RPC DCOM exploit / Blaster Worm Attack 8 1 12.5% EXPLOIT MS04-007 Kill-Bill ASN1 exploit attempt 21 8 38.10% NETBIOS DCERPC ISystem Activator bind Attempt 68 12 17.65% NETBIOS DCERPC Remove Activation bind Attempt 49 8 16.33% NETBIOS SMB Session Setup NTMLSSP unicode asn1 overflow attempt WEB-IIS view source via translate header 判別期間: 2005年12月23日 0時0分~同日 23時59分 実験環境: RG-Net全体 判別イベント:26項目 検知数合計(21,996件) における低リスクイベント合計(17,331件)の割合: 78.79% THE ZEN of NETWORK SOLUTION 3. Security Events Log Visualizer (1/3) セキュリティイベントログの可視化手法 EVENT LOG 00:13 Port Scan 00:13 Port Scan 00:15 Version Scan 00:17 Exploit Attempt 00:27 Port Scan 00:28 Version Scan 00:55 Exploit Attempt 項目毎 の比較 Port Scan Version Scan Exploit Attempt 発生量の表現 01:00 00:00 時間軸にそった表現 THE ZEN of NETWORK SOLUTION 3. Security Events Log Visualizer (2/3) Security Events Log Visualizerの実装 Bishop Visualization Engine Event Log Extension Manager Extension HTML and Image Arguments Log Fetch Engine Event Log Fetch Plugin HTTP Web Server Requst (Apache) Web Browser Operator Fetch Plugin User Interface Log NIDS Log NIDS THE ZEN of NETWORK SOLUTION 3. Security Events Log Visualizer (3/3) イベントログ視覚化の例 Case 1: イベントの異常発生検出 SHELLCODE x86 NOOP Case 2: 関連するイベントの発見 THE ZEN of NETWORK SOLUTION 関連性あると考えら れるイベント Install Implementations 各技術の導入 Security Event Log Visualizer Bishop Other NIDS Log Other NIDS switch Session based NIDS Passive OS Fingerprinting DHCP gazer Web UI S-NIDS Log OS based Risk Evaluation System Operator Mail等 Risk Check and Alert Script RICAS Internal Network THE ZEN of NETWORK SOLUTION OS Allocation Information Future Work 今後の課題 • 各要素間のセキュリティイベント伝達手段 – 別技術導入の際の相互接続性 – IDMEFでは規模性に問題 • より効果的なセキュリティイベントの利用 – 本研究の対象は熟練ネットワーク管理者 – インシデント発見,自動評価設定等は管理者依存 • シグネチャ,ルールの充実 – S-NIDS, OSRESで利用するルールの追加 – 運用による,さらなるデータの収集 THE ZEN of NETWORK SOLUTION Conclusion まとめ • 従来のNIDS運用における問題点を指摘 – リスク評価が困難なセキュリティイベントが多い – 膨大なログを把握するのは負担大 • 必要となる技術を設計,実装,評価 – 応答の監視によるリスク評価型NIDS – OS情報にもとづいたイベントリスク評価システム – セキュリティイベントログの視覚化 • NIDSの運用を効率化 THE ZEN of NETWORK SOLUTION