Transcript 1 - 早稲田大学
2010年度 卒業論文
IDSログのサンプリングによる解析
Analysis of IDS log data by sampling
2011/02/03
早稲田大学 基幹理工学部 情報理工学科
後藤研究室 学士4年
1w070308-8 関島 達矢
Agenda
1. 研究背景
2. 研究目的
3. 提案手法
4. 実証実験
5. 結論
2011/02/03
卒論審査会
2
研究背景
インターネットが普及し、不正な通信が増えている。
大量の
ログ発生
・大部分のログは不要
・必要なログは少数
-------------------------------------
ファイアウォール
IDS
ログ解析に手間がかかる
2011/02/03
卒論審査会
3
研究背景(アラート件数)
同種類のアラートが非常に多い
無駄
12551個が同種アラート(17905個中)
21000
アラート数
18000
15000
12000
9000
6000
3000
0
0
100
200
300
400
分
2011/02/03
卒論審査会
500
600
700
800
11月21日 10:00:00~21:59:59
早稲田学内学外のゲートウェイにて
4
研究目的
不要なログが大量で、解析に手間がかかる
同種類のアラートが多い
運用コストが高くなり、効果的なIDSの運用が難しくなる
不要なログを減らしてログ解析を効率化
2011/02/03
卒論審査会
5
5
パケットサンプリング
×1
×2
1/2でサンプリング
×3
実際のパケット数
2倍で個数を元に戻す
×0
×2
×4
数の少ないものは消える
2011/02/03
卒論審査会
数の多いものに偏る
6
提案手法(ログサンプリング)
IDS
不正な通信+正常な通信
ログ
-------------
-------------
-------------
-------------
-------------
-------------
-------------
-------------
-------------
-------------
-------------
-------------
IDSのログを
サンプリング
2011/02/03
卒論審査会
7
提案手法(パケットサンプリング)
ログ
IDS
パケットデータを
サンプリング
-------------
-------------
-------------
-------------
-------------
-------------
-------------
-------------
-------------
-------------
-------------
-------------
-------------
-------------
-------------
-------------
-------------
-------------
IDS
2011/02/03
卒論審査会
8
実証実験
1.
パケットデータをサンプリング
ログサンプリング
パケットサンプリング
5分毎のアラート数の分布を調べる
3. 異常部分を異常とみなせるか評価
2.
標準偏差
異常とみなせない場合
異常とみなせる場合
異常のある部分に異常を警告する
アラートが残っているか確認
サンプリングレートを小さくして
繰り返し行う
2011/02/03
卒論審査会
9
サンプリングによるアラート数の変化
サンプリングなし
1/1024
1/4096
ばらつきが大きく
異常とみなせなくなる
2011/02/03
卒論審査会
10
評価方法
異常
平均 分散 の正規分布
2
平均・分散を求める
信頼区間上限を計算
2.5758
2
2
2.5758
信頼係数:0.99
2011/02/03
卒論審査会
信頼区間
11
実験に用いたデータ
アラート数
日時
11月17日 18:00:00~11月18日05:59:59
合成前
合成後
3267965
3407709
11月21日 10:00:00~21:59:59
874543
11月22日 10:00:00~21:59:59
1523901
ハニーポットの通信
(11月9日11:44:53~23:21:36)
2011/02/03
卒論審査会
12
実験結果(11月21日)
サンプリングレート500前後までは異常を異常とみなしている
2011/02/03
卒論審査会
13
実験結果(11月21日)
全てにDoS攻撃アラートが残っている
1/640
2011/02/03
卒論審査会
14
結果のまとめ
異常を異常とみなせなくなったときのサンプリングレート
実験
ログサンプリング
パケットサンプリング
1
1/3800
1/3500
2
1/750
1/1000
3
1/750
1/500
アラート数
実験
サンプリング前 ログサンプリング パケットサンプリング
1
3267865
883
986
2
874543
1147
810
3
1523901
1975
2959
見るべきログをかなり削減できた
2011/02/03
卒論審査会
15
サンプリングの種類による差異
35
30
アラート数
25
20
15
10
5
0
ログ
パケット
ログ
パケット
POP3 PCT
WEB-MISC PCT
Client_Hello overflow Client_Hello overflow
attempt
attempt
2011/02/03
ログ
パケット
(portscan) UDP
Portscan
卒論審査会
ログ
パケット
(portscan) UDP
Decoy Portscan
16
サンプリングの種類による差異
200
180
160
140
アラート数
120
100
80
60
40
20
0
ログ
パケット
POP3 PASS format
string attempt
2011/02/03
ログ
パケット
(spp_frag3) Teardrop
attack
ログ
パケット
(portscan) TCP
Portsweep
卒論審査会
ログ
パケット
(portscan) TCP
Portscan
17
結論
サンプリングにより不要な通信を削減できた
• 異常な通信は残ったままであった
•
ログ解析においてサンプリングは
1次フィルタとしての役割を果たす
今後の課題
サンプリングレートとデータの相関性を調べる
• データ数を増やす
• 複数のサンプリング方法を試す
•
2011/02/03
卒論審査会
18
ご清聴ありがとうございました
2011/02/03
卒論審査会
19
補足資料
読んだ論文(1)
磯崎裕臣,阿多信吾,岡育生,
サンプリングフローの差分情報を用いたフロー分布の推定,
電子情報通信学会,2006.
川原亮一,森達哉,滝根哲哉,浅野正一郎,
サンプルパケット情報を用いたトラヒック測定分析手法,
インターネット性能評価の新潮流,Jun 2008.
川原亮一,森達哉,原田薫明,上山憲昭,近藤毅,石橋圭介,
異常トラヒック測定分析手法,
NTT技術ジャーナル,Mar 2008.
中田健介,高倉弘喜,岡部寿男,
IDS警報の解析による第三者機関への攻撃状況の把握手法,
電子情報通信学会.IEICE,pp.25-30,2009.
斎田佳輝,森島直人,砂原秀樹,
サンプリング計測におけるトラフィック傾向把握手法の提案,
第47回プログラミングシンポジウム,Jan 2006.
2011/02/03
卒論審査会
21
読んだ論文(2)
三宅優,
高速ネットワークにおけるセキュリティ監視の現状と課題,
情報処理学会論文誌,Mar 2007.
水谷正慶,白畑真,南政樹,村井純,
Session Based IDSの設計と実装,
電子情報通信学会論文誌,No.3,pp.551-562 2005.
縄田秀一,内田真,Yu Gu,鶴正人,尾家祐二,
時間周期的パケットサンプリングによる教師なしアンサンブル異常検出法,
九州工業大学大学院情報工学府情報システム専攻 修士論文,2009.
山本真理子,
侵入検知システムを用いた動的ファイアウォールの実装,
筑波大学大学院博士課程システム情報工学研究科修士論文,Jan 2006.
竹森敬祐,三宅優,中尾康二,菅谷史昭,笹瀬厳
Security Operation CenterのためのIDSログ分析支援システム
電子情報通信学会論文誌
2011/02/03
卒論審査会
22
IDSとファイアウォール
ファイアウォールでは
捕まえ切れないワー
ムや不正侵入を防御
大量の
ログ発生
-------------------------------------
IDS
ファイアウォール
ルールに合わない
通信を遮断
2011/02/03
卒論審査会
23
パケットサンプリングの種類
ランダムサンプリング
nパケットごとに1パケット抽出
ランダム確率により、1/nの割合でパケット抽出
時間周期的サンプリング
一定時刻tで区切り、そのtの間の始めのパケットを抽出
時間間隔 t i(可変)で区切り、その t i の間の始めのパケット
を抽出
ランダムサンプリングにくらべ、時間周期的サンプリングの方
が、バースト的に発生する事象を無視する傾向にある
⇒高い割合で数の多いパケットをサンプリングできる
2011/02/03
卒論審査会
24
ハニーポットのアラートの数(元)
28
18
9
77
748
BAD-TRAFFIC tcp port 0 traffic
ICMP PING NMAP
ICMP redirect host
ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibited
(portscan) TCP Portsweep
2011/02/03
卒論審査会
25
IDSフィルタの設定(パラメータ)
1種類のアラートの中で、同じ送信元IPアドレス
が多い
送信元IPアドレス
送信先IPアドレス
2011/02/03
アラートの種類
卒論審査会
26
パケットサンプリングの種類
サンプリング計測手法
時間周期的サンプリング
一定時間間隔
ランダム時間間隔 t i (ある期待値を持つ指数分布)
t
ランダムサンプリング
等間隔にサンプリング
ランダム確率でサンプリング
特定のものをサンプリング
2011/02/03
確実に正常と判断できるものを狙って取り出す
卒論審査会
27
正規分布表
Z
1.3
1.4
1.5
1.6
1.7
1.8
1.9
2.0
2.1
2.2
2.3
2.4
2.5
0
.4032
.4192
.4332
.4452
.4554
.4641
.4713
.4772
.4821
.4861
.4893
.4918
.4938
0.01
.4049
.4207
.4345
.4463
.4564
.4649
.4719
.4778
.4826
.4864
.4896
.4920
.4940
0.02
.4066
.4222
.4357
.4474
.4573
.4656
.4726
.4783
.4830
.4868
.4898
.4922
.4941
0.03
.4082
.4236
.4370
.4484
.4582
.4664
.4732
.4788
.4834
.4871
.4901
.4925
.4943
0.04
.4099
.4251
.4382
.4495
.4591
.4671
.4738
.4793
.4838
.4875
.4904
.4927
.4945
0.05
.4115
.4265
.4394
.4505
.4599
.4678
.4744
.4798
.4842
.4878
.4906
.4929
.4946
0.06
.4131
.4279
.4406
.4515
.4608
.4686
.4750
.4803
.4846
.4881
.4909
.4931
.4948
0.07
.4147
.4292
.4418
.4525
.4616
.4693
.4756
.4808
.4850
.4884
.4911
.4932
.4949
0.08
.4162
.4306
.4429
.4535
.4625
.4699
.4761
.4812
.4854
.4887
.4913
.4934
.4951
0.09
.4177
.4319
.4441
.4545
.4633
.4706
.4767
.4817
.4857
.4890
.4916
.4936
.4952
全体の0.99(99%)を信頼区間としたときのzの値=2.58
2011/02/03
卒論審査会
28
信頼区間
サンプルを取り出したとき、ある確率で入ることの出
来る区間
z z
z
2011/02/03
z
卒論審査会
29
サンプリング後のアラート数(11月21日)
2011/02/03
卒論審査会
30
サンプリング後のアラート数(11月22日)
2011/02/03
卒論審査会
31
Snortのルール
alert tcp $EXTERNAL_NET any <> $HOME_NET 0
(msg:"BAD-TRAFFIC tcp port 0 traffic"; flow:stateless; classtype:misc-activity; sid:524; rev:8;)
alert udp $EXTERNAL_NET !53 <> $HOME_NET !53
(msg:"COMMUNITY DOS Single-Byte UDP Flood"; content:"0"; dsize:1; classtype:attempteddos;threshold: type threshold, track by_dst, count 200, seconds 60; sid:100000923; rev:1;)
alert tcp any any -> any any
(msg:"COMMUNITY BOT IRC Traffic Detected By Nick Change"; flow: to_server,established;
content:"NICK "; nocase; offset: 0; depth: 5; flowbits:set,community_is_proto_irc; flowbits:noalert
classtype:misc-activity; sid:100000240; rev:3;)
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"COMMUNITY BOT Internal IRC
server detected"; flow: to_server,establ ished; flowbits:isset,community_is_proto_irc; classtype:
policy-violation; sid:100000241; rev:2;)
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 443
(msg:"WEB-MISC PCT Client_Hello overflow attempt"; flow:to_server,established;
flowbits:isnotset,sslv2.server_hello.request; flowbits:isnotset,sslv3.server_hello.request;
flowbits:isnotset,tlsv1.server_hello.request; content:"|01|"; depth:1; offset:2; byte_test:2,>,0,5;
byte_test:2,!,0,7; byte_test:2,!,16,7; byte_test:2,>,20,9; content:"|8F|"; depth:1; offset:11;
byte_test:2,>,32768,0,relative; reference:bugtraq,10116;reference:cve,2003-0719;
reference:url,www.microsoft.com/technet/security/bulletin/MS04-011.mspx; classtype:attemptedadmin; sid:2515; rev:13;)
2011/02/03
卒論審査会
32
実験に用いたデータ(ハニーポット)
2011/02/03
卒論審査会
33
実験結果(11月17日)
サンプリングレート3000前後までは異常を異常とみなしている
2011/02/03
卒論審査会
34
実験結果(11月17日)
全てにDoS攻撃アラートが残っている
1/3072
2011/02/03
卒論審査会
35
実験結果(11月21日)
サンプリングレート500前後までは異常を異常とみなしている
2011/02/03
卒論審査会
36
実験結果(11月21日)
全てにDoS攻撃アラートが残っている
1/640
2011/02/03
卒論審査会
37
実験結果(11月22日)
サンプリングレート500前後までは異常を異常とみなしている
2011/02/03
卒論審査会
38
実験結果(11月22日)
全てにDoS攻撃アラートが残っている
1/768
2011/02/03
卒論審査会
39
サンプリングの種類のよる差異
COMMUNIT
Y BOT
Internal IRC
server
detected
POP3 PCT
Client_Hello
overflow
attempt
WEB-MISC
PCT
Client_Hello
overflow
attempt
(portscan)
UDP Portscan
POP3 PASS
format string
attempt
(portscan)
UDP Decoy
Portscan
ログ
ログ
ログ
ログ
ログ
パケット
ログ
パケット
パケット
パケット
パケット
パケット
16
156
0
36
0
44
3
44
4
40
5
37
3
32
85
0
26
2
23
0
29
1
18
4
23
0
64
47
0
14
2
9
0
12
0
10
2
10
0
128
30
0
10
0
6
1
7
0
5
1
3
0
256
15
0
4
0
4
0
3
0
3
0
1
0
512
6
0
4
0
4
0
2
0
2
0
0
0
1024
4
0
4
0
2
0
4
0
4
0
0
0
1280
1
0
0
0
0
0
1
0
2
0
0
0
1536
3
0
0
0
2
0
1
0
0
0
0
0
2011/02/03
卒論審査会
40
サンプリングによって減少の仕方が異なったアラート
COMMUNITY BOT Internal IRC server detected
POP3 PCT Client_Hello overflow attempt
WEB-MISC PCT Client_Hello overflow attempt
(portscan) UDP Portscan\end{verbatim}
POP3 PASS format string attempt
(portscan) UDP Decoy Portscan
(spp_frag3) Teardrop attack\end{verbatim}
(portscan) TCP Portsweep
(portscan) TCP Portscan
2011/02/03
卒論審査会
41
ボットを警告するルール
alert tcp any any -> any any
(msg:"COMMUNITY BOT IRC Traffic Detected By Nick Change";
flow: to_server,established; content:"NICK "; nocase; offset: 0;
depth: 5; flowbits:set,community_is_proto_irc; flowbits:noalert;
classtype:misc-activity; sid:100000240; rev:3;)
alert tcp $EXTERNAL_NET any -> $HOME_NET any
(msg:"COMMUNITY BOT Internal IRC server detected";
flow: to_server,established; flowbits:isset,community_is_proto_irc;
classtype: policy-violation; sid:100000241; rev:2;)
2011/02/03
卒論審査会
42