ON (F)
ON (G)
ON/ active, OFF /inactive ホスト名
4-11
rst or syn/ack
を応答しないTCP
ポート宛のパケットを不正な パケットとして検出 攻撃カバー率が大幅に向上提案システムの アーキテクチャ紹介
4-12
提案システムの構成 ( コンポーネント )
Response delete
Delay queue 応答フロー検出時に 遅延
キューから該当するsynパ ケットを削除
synパケットを遅延させる ためのキュー
control plane Locator ケットを削除
data plane
Forwarding Table
Forward the new TCP packet to delay queue
Entry the TCP flow to the monitoring slice
g
Ingress port Egress port
センサ/ハニーポットを動作 させるネットワーク センサに転送するフロー
Monitoring network
Th I Ingress port Egress port
転送す 情報を保持
The Internet
4-13
提案システムの構成
Monitoring class
(Flow Class Allocation)
明示的に使われていないアドレス 空間を登録し Darknetと併用した
Malicious flows I t t
空間を登録し、Darknetと併用した 観測を実現
Analyzers Dark IPs/net .
Internet
Programmable Switch
Grey flows
drop if connection established
mirror
delay queueExcluding hosts
established Non-monitoring class
管理者側で除外したいホス トや明示的に正常と見なす
Legitimate hosts g
to local area network
トや明示的に 常と見なす ホストを登録
to local area network
Switch
4-14
提案システムの構成 提案システムの構成
(Policy-based Forwarding)
Sensor A
Sensor B Policy based Forwarding
VLAN Trunk
Honeypot A Policy based
Classification
Forwarding
Table Switch
Forwarder
Honeypot B Forwarder
Policy Policy example
dest x.x.x.x/y => Sensor A
daddr:X and dport:445 => Honeypot A daddr:X and dport:445 => Honeypot A dport:139 => Honeypot B
4-15
提案システムの ソフトウェア実装
4-16
Forwarder Implementation
ポート・ミラーリングを利用
Forwarder Implementation
(フロースイッチの代替)
delete packet
Forwarder
input
process Delay
Queue
Active Host Monitoring
p
(a) (b)
(d)
Local Area
Network assign VLAN tag
NIC NIC
forwarding mirroring
IPTables
delete flow
Analyzers
(c)
gateway
forwarding
I t t
t blNIC
output y
table
Internet
processLinux server
データプレーン コントロールプレーン
4-17
データプレーン、コントロールプレーン をすべてLinuxのnetfilter上に実装
Honeypot / Sensor Wrapper Implementation Wrapper Implementation
iptables logging
process NIC
sensor
virtual interfaces
honeypot
○
○
○ input
process create
yp
iptables honeypot
process NIC
○
○
○
○
○
1) syn
パケットの宛先IP
アドレスを持つ仮想インターフェイスを生成2)
ハニーポット・プロセスにフォワード4-18
)
ポッ ォUnix socket
を利用するハニーポットはソフトウェアの変更なしに送信元を偽装してセッションを確立できる
実証実験 実証実験
4-19
実験環境 実験環境
大学ゲ ウ 提案 を設
` 大学ゲートウェイに提案システムを設置
` トラフィックは昼夜平均 300Mbps
`
ピーク時は 1Gbps 超
` 2011 年 7 月の数週間にわたり観測
大学 すべ サブネ を観測対象
` 大学のすべてのサブネットを観測対象
`
クラス B (/16, total 65,536 IP addresses)
評価の観点
` 評価の観点
` フローベースの不正パケット検出方式の精度 ド バ 率
` Active な IP アドレスのカバー率
` システムの性能評価
4-20
大学ネットワークにおける
TCP syn/ack パケットの遅延割合 TCP syn/ack パケットの遅延割合
ゲートウェイのトラフィックをモニターし て、
syn y
を検出後にsyn/ack y
を観測する までの時間を計測99.997%
のフローはsyn/ack
パケット が5
未満で到達が
5sec
未満で到達/ k
が遅れたケ スではsyn/ack
が遅れたケースでは、セッションが成立しているか?
4-21
syn/ack 遅延セッションにおける コネクション成立数
コネクション成立数
5sec
ではセッション確立フローは無しただし一部の例外ホスト
(Planetlab
ノード)
を除く ただし 部の例外ホスト(Planetlab
ノ ド)
を除く4-22
syn/ack 遅延率と syn パケット保持数 syn/ack 遅延率と syn パケット保持数
のトレードオフ評価
0.0060%
0.0070%
20000 25000
delay queue size
0.0040%
0.0050%
15000
syn/ack ratio
packets
delayed syn/ack ratio
0.0020%
0.0030%
5000 10000
delayed s
# of syn
0.0000%
0.0010%
0
2 3 4 5 6 7 8 9 10
forward delay [sec]
no established session is located
better forward delay [sec]
遅延キューのタイムアウト
(forward delay: T sec)
が長すぎと…
・ キューに貯まる
syn
パケットが増え、メモリを消費・ ハニーポットの場合
TCP
タイムアウトによりセッションが確立しない恐れ4-23
ハニ ポットの場合、
TCP
タイムアウトによりセッションが確立しない恐れ以上を総合的に判断して遅延キューのタイムアウト
(T)
を5 sec
に設定ネットワーク脅威検出に 利用可能な IP アドレスの個数 利用可能な IP アドレスの個数
70000 80000
unused (IP-address-based) conventional darknet
50000 60000 70000
ress
our method (flow-based) multi-dimensional
syn/ackを応答しないポートが少なくとも1つ
30000 40000
# of IP addr syn/ackを応答しないポ トが少なくとも1つ
以上存在するIPアドレスをカウント
0 10000 20000
パケットを発信していない、inactiveと推定されるIPアド レスをカウント
(Darknet方式 / Virtual Dark IP address 方式) 0
1 8 15 22 29 36 43
hours
4-24
Active なホストが多く存在するネットワークにおいて、
モニタリング対象のIPアドレスを大幅に拡張することに成功
メモリ使用率の評価 メモリ使用率の評価
6 7
120000 140000
syn table [#]
flow table [#]
delay queue
大学のIPv4アドレス空間 (/16) 全体を監視する場 合でも高々7MByteのメモ
4 5
80000 100000
Mbytes]
[#]
memoy usage [MB]
合でも高々7MByteのメモ リ消費
3 4
60000 80000
mory usage [M
ws or packets
メモリ消費量は、その時 点におけるコネクション 数に依存
1 2
20000
40000 mem
flow
IPv6等の広いアドレス空 間をわずかなサーバ資源
0 0
0 12000 24000
second
間をわず なサ 資源 で観測可能