セッション追跡型IDSを応用したIPSの設計と実装
Download
Report
Transcript セッション追跡型IDSを応用したIPSの設計と実装
セッション追跡によるプロトコル
アノーマリの検知と対処
SING mizutani(B3)
Parent true
Road to Bachelor’s Paper
2004年秋
「ホストベース型防御機構の
設計と実装」(予定)
2004年春「Session Based IDSの
設計と実装」電子情報通信学会
和文論文誌
2003年秋
「The Design and Implementation
of Session Based IDS」 USENIX
※ failed
2002年秋
「ホスト情報をもとにした
攻撃情報のリスク評価」
Bachelor’s Paper
卒業論文
「不正侵入に対する総合的な
セキュリティ環境の実現(仮)」
(あくまで予定)
2004年春
「セッション追跡によるプロトコル
アノーマリの検知と対処」
2003年春
「セッション追跡型IDSの設計と実装」
2003年1月 「IDSのログ視覚化システムの開発」
情報処理学会 DMSシンポジウム
2002年春 IDSログ視覚化システム「pigeye」の開発
背景
FirewallによるFiltering
現在、最も一般的な不正侵入防御手法
IP address range
Port number
Domain name
Passさせざるを得ないtraffic
提供しているサービスへの通信
内部からの通信
信頼しているアドレスからの攻撃
→ IPS (Intrusion Prevention System)
Intrusion Prevention System
悪意のある通信をフィルタ
パケットを落とす
例)ウィルス、ワーム、攻撃ツール
悪意のあるホストからの通信をフィルタ
一定時間 / 管理者が解除するまでフィルタ
動作例
Attacker
Known
Unknown
Exploit Code
Exploit Code
IPS
Malicious
packet!
Exploited !!
?
Target
問題点
定型的な攻撃以外は遮断できない
誤遮断の可能性
Overflow Attempt, Assemble Code, Anomaly Packet
攻撃パケットのProtocol Anomalyは過剰検知
通信エラー、入力データのミス、ソフトウェアのバグ/仕様、
あるいは実際の攻撃
正常な通信を妨害してしまう可能性
確実なルールのみで運用
悪意のあるトラフィックか否かの判断が困難
未知の攻撃をうけた場合、被害が拡大
解決方法
プロトコルアノーマリから攻撃か否かを判断
正常とされている通信の方式を登録
反応を含めた通信を監視
規格外の通信に対してエラーを返さない場合
継続的に監視する事で判断要素を増やす
攻撃が成功したと考えられるホストへの内外とも
に拒否
被害の拡大を防ぐ
具体例
HTTP
SMTP
最初のリクエスト(“GET”、“POST”等)に対して結果コード
(200、403、404、500等)が応答に含まれない
HELOコマンドに対して結果コード(250、501)が含まれな
い
HELOコマンドに対する応答にバイナリコードが含まれる
Out of scope
unknownなプロトコル(自作/非公開プロトコル)
暗号化されたトラフィック
動作例
Attacker
Protocol
Unknown
Anomaly Packet
Exploit Code
Exploited!
No Problem
Error Message
????
Target
設計
Inline型
各セッションの情報を保持
ネットワークプレフィックス毎にハッシュ検索
プロトコルの要求と応答をルールとして定義
セッションの定義
Session
3201
HTTP
192.168.2.3 7634
80
25
SMTP
10.1.23.24
今後の予定
6月24日までは電子情報通信学会の論文誌
(和文ですが)USENIXに提出した内容でリベンジ
6月25日から心を入れ替えて、実装
RG-NET内で運用し、評価を行う
正常な通信を阻害しないか
悪意ある通信を遮断できるか
まとめ
内部ホストに対する攻撃の被害を減らす
セッション追跡による防御機構を実装する
DPSワークショップに論文提出予定
7月30日 論文提出