Snortを用いた侵入防止システムの構築と侵入検知処理高速化の検討

全文

(1)2003−CSEC−21 (10) 2003／5／16. 社団法人情報処理学会研究報告 IPSJ SIG Technical Report. を用いた侵入防止システムの構築と侵入検知処理高速化の検討林經正 Ý 横山幹 Þ 高原厚 Ý 岩橋政宏 Þ 未来ねっと研究所 Þ 長岡技術科学大学. Ý. 近年、ブロードバンド通信サービスの普及にともない、多くのコンピュータがインターネットに常時接続されるようになってきた。これにともない、ネットワークを介した不正侵入の被害を受ける件数が非常に多くなっている。このような不正侵入行為からネットワークシステムを守るために侵入検知システムが開発されてきた。しかしながら、が検知するネットワークシステムのトラヒック量が大きくなると、での侵入検知処理が追いつかなくなり検知率が急激に落ちてしまう問題がある。そこで、本稿では、ハードウェアソフトウェア協調処理による侵入検知処理の高速化システムを提案し、実ネットワークサービス環境を想定した実験ネットワークで本システムの検知処理能力の評価を行ったので報告する。.

(2)

(3) .

(4) Ý

(5) Þ

(6) Ý

(7)

(8) Þ Ý

(9)

(10) Þ

(11)

(12) .

(13)

(14) .

(15)

(16) . Æ .

(17)

(18) !

(19)

(20)

(21) . はじめに. セキュリティシステムは、ファイヤーウォールなどで用いられているフィルタ処理も必要とする。. 近年、"# "

(22) # 、$. $ . などのブロード. バンド通信サービスの普及にともない、多くのコンピュータがインターネットに常時接続されるようになってきた。これにともない、ネットワークを介したリモートからの不正侵入攻撃で被害を受ける件数が非常に多くなってきている。このような不正侵入行. による侵入誤検知誤検知を減らすため、ま. た、将来起こりうる未知の攻撃に対応するため、 ,. 等の技術を用いることにより対応していく. 技術が検討されている &- . /) が、実環境のに適用して運用するまでには完成度は高くない。一方で、実ネットワーク環境下ではの処理速. 為からネットワークシステムを守るために、過去の. 度が問題になってくる可能性があることが報告され. 侵入手口をデータベースシグニチャ化し、侵入検. ている &0)。つまり、1 サーバなどの検知対象と. 知を行なう侵入検知システム . なるシステムへのアクセス量が大きくなるとの.

(23) % が開発されてきている &' () 。. 処理が追い付かなくなり、検知率が急激に落ちる、. は、ネットワークを介して接続されるコンピ. または、検知できなくなるという問題である。これ. ュータ間の通信の振舞いを解析することにより、不. は、検知対象となるパケット内のデータ解析やプロ. 正な動きがないか検知することが基本となるが、実. トコル状態遷移管理といったの処理を演算プ. 際のネットワーク環境下で使用されるを用いた. ロセッサを用いた逐次処理で行なわなければならな. セキュリティシステムでは、* や + などのヘッ. いため、単位時間辺りに処理しなければならないパ. ダ情報を元にパケットフィルタリング処理を行い、. ケット数が多くなると、の処理能力が極端に低. 続いてパケット内のデータ解析、プロトコル状態遷. 下するためである。このようなの処理速度の問. 移管理を行なうことになる。つまり、を用いた. 題に対して、のアタック耐性を評価する. −59− '.

(24) ためのベンチマークテストの指針が検討されている. , "75, アルゴリズム &8) は、検索する文字. &2) が、検知対象となるネットワークシステムに流れ. 列に対して予め共通文字列を親ノードとする探索木. る全てのトラヒックが攻撃パケットで構成されてい. 検索木を作成しておき、その探索木に従いマッチ. ることを仮定しているため、アタック耐性以外. ングを行っていく手法である。探索木が縮退した場. の処理能力評価には直接用いることができない。そ. 合、マッチングする処理数を削減できるため、5,. こで我々は、不正侵入攻撃が最も行なわれる条件を. アルゴリズムよりもマッチング処理数を少なくする. 想定し、バックグラウンドトラヒックを 1 サー. ことができ、高速処理が期待できる。½. バ等へ通常にアクセスするトラヒックとした。この環境下で不正侵入攻撃を行なうことに対するの検知処理能力を評価することとした。本稿では、高. カーネル・パケットフィルタリングの併用. バックグラウンドトラヒック時においても、十分に検知処理できるを用いたセキュリティシステム. 次に我々は、は導入するネットワークシステ. の高速化を検討し、検知結果を元に攻撃元との通信. ムに応じて検知するパケットの種類、プロトコルが. を遮断処理する侵入防止システムの評価を行なった. 異なることに注目した。例えば、1 サーバのみ. ので報告する。. のネットワークシステムには、$+ 、4 などのサーバへのアクセスパケットを処理する必要がな. . い。そこで、カーネルでパケットを識別しフィルタ. 侵入検知処理の高速化手法. リングを行なうことにより、で処理するパケッ. 我々は、として &') を用いたセキュリティ. ト削減することを検討した。カーネルフィルタとし. システムを構築し、侵入検知処理能力を評価すると. て、を用いた。図 ' にのパケットフィ. 共に、処理能力の高速化を検討した。は市販. ルタリングとの協調動作の構成図を示す。予めのフィルタリングルールに設定したパ. ツールと比較して、高トラヒックやフラグメン. ト化された検知しにくいパケットを用いた侵入攻撃. ケットだけがのキュー 9 に格納さ. に対しても、高い検知処理能力有することが報告さ. れる。9 に格納されたパケットだけがで. れている &0)。また、最新の侵入被害に対しても対. 処理されるため、単位時間あたりに処理するパケッ. 応が早い。は、プリプロセッサの処理後、シ. ト数を削減できる可能性がある。. グニチャを用いた検索処理を行なう。の処理. Snort. は、パケット識別によるフィルタリング処理、文字. 解析. 列などのパターンマッチング処理、プロトコル解析 ip queue. 処理の - つに分けることができる。我々は、検知処理のうち最も処理負荷が大きくなる原因になる. iptable. 文字列パターンマッチング処理の高速化に着目し、. フィルタルールにマッチ. 受信パケット. パターンマッチング・アルゴリズム高速化と、パターンマッチングルーチン処理の負荷削減を検討した。. 図 '% カーネルでのパケットフィルタとの. また、不正侵入検知後、リモートコンピュータとの. 併用構成図. 通信を遮断する $ 3 4 機能の評価を行なった。. . 探索木パターンマッチアルゴリズム. ハードウェアソフトウェア協調処理. では、パターンマッチに 5

(25) !, アル. ゴリズム 5, アルゴリズム &6) を用いている。これは、基本的にシグニチャ内の全ての検索文字列とパケット内データとの間でパターンマッチ処理を行なうもので、検索文字列数が多くなるとマッチング. 処理することにより、高バックグラウンドトラヒック状況下でもパターンマッチ処理可能なシステムについて検討した。図 ( に試作したネットワーク. 処理量が非常に多くなり、単位時間辺りに処理できるパケット数が少なくなる。 5,. 次に我々は、パケットフィルタリングをハードウェアで処理し、パターンマッチ処理をソフトウェアで. アルゴリズムに対して "!7 5

(26) !. 装置エッジデバイスを用いたシステムの概略構成 ½ アルゴリズムを実装したは、

(27) としてリリースされる予定年月現在。. −60− (.

(28) 図を示す。エッジデバイスは、ノンブロッキング・. 検知率の測定回数は / 回とし、測定値の最大値と最. ワイヤースピードでで (.: の処理能力を持つ. 小値を除いた残り - つの値の平均値を測定結果とし. ネットワークスイッチ "7 57,/0;;&';) と汎用. た。を動作させるシステムは下記に示す . 種. . 7+< を搭載する。この "7 により、受信パケット. 類、?' - とし、検知率の測定を行なっ. の * フレームの先頭から 0.5

(29) の一致検. た。は、攻撃対象である 1 サーバ上に . 索することで、不必要なパケットをフィルタリング. を構築したもので、?' - は、ネットワーク型. する。それ以外のパケットを汎用 7+< で動作する. である。被検索文字列が 2 バイトであるため、. . で処理させる。このシステムでは、7+<. 各プロセッサのキャッシュヒット率に大きな違いが. 上の処理結果を元に "7 を制御することが可能で. ないと仮定する。また、を用いた本の侵. あり、フィルタリングルール、転送パケットのプラ. 入検知処理能力と比較するために、と同様に. イオリティ+ パケットの = ビット、6;(' のプ. シグニチャを用いる 0; を搭載した ,. ライオリティビットなどを変更できる。. &'') を評価した。. 実験環境の詳細を下記に示す。. 汎用 +7 で構成%. CPU. Snort. + ': @ #'. 0.A5 #(. (/0A5. HWフィルタ侵入パケット. (/0,5 =% 4 2- #?<B. ASIC. 不要な. 図 (% エッジデバイスを用いた. 汎用 +7 で構成%. Drop. Traffic. メインメモリ. + ': @ #'. 0.A5 #(. (/0A5. メインメモリ. (/0,5 =% 4 2- #?<B 11 協調動作に. 試作したエッジデバイス：: :B' + -;;, @ 相当、#'. '0A5. よる構成. メ. インメモリ 0.,5 =% $ 5.'. . 米国 ,4C 社. &'() 上の "+!7+< で構成% + +7 -00, @. 実験環境、実験方法. 図 - に、今回構築した評価実験ネットワークの構成を示す。. NIDS Web Server. 検知. = # 4 . #'. -(A5 #(. -(A5. メインメモ. リ '(6,5 =% -;« #?<B.

(30) 汎用 +7 で構成% + //;, Traffic. 侵入. @. メインメモリ '(6,5 =% 4 2- #?<B. Traffic Generator. Æ

(31) 5 &'-)。ハードウェア Attacker. トラヒックジェネレータ実験で使用した攻撃・検疫ツールを以下に示す。. 図 -% 評価実験ネットワーク構成図. 攻撃対象として 1 サーバを立ち上げ、トラヒックジェネレータからは 7+ アクセスを摸擬したトラヒックを生成し、1 サーバに送信する。. フリーウェアのポートスキャナ、ステルススキャンなどの各種ポートスキャンを実行可能. &'.) 、ネットワークパケットを自由に編集. このような状況下でアタッカから検知試験に用いる. し、プロトコル処理シーケンスを任意に変更し. 文字列> >をデータに格納した侵入攻撃パ. てリモートホストと通信が可能. ケットを 1 サーバに ';; パケット送信し、トラヒックジェネレータから送出されるバックトラヒッ. 5 を制御するアプリケー. ク帯域に対する検知率送信攻撃パケット ';; に対. ション。任意のパケットを作成・送信し、トラ. する検知したパケット数の割合の測定を行なった。. ヒック帯域のコントロールが可能. −61−.

(32) . スなどの物理的な構成によるものではなく、の. 検知率の評価. シーケンス処理の負荷が大きいからと考えられる。. . 従来手法の評価. ? に対して. まず、既存のの検知率を測定した。図 . はシグニチャ数 068 、図 / はシグニチャ数 ' でのバックグラウンドトラヒックの大きさに対するの検知率の結果である。 100 80. %][ 70 率 60 知 50 t検 ro 40 n S. ックに対するカーネルでのパケット処理 7+ D? パケットに対し D?"7A パケットを返す処理や、 1 サーバアプリケーションにより、7+< リソース. が奪われるため、のパフォーマンスが低下する。. 探索木パターンマッチ型の検知. PC NIDS PC HIDS エッジデバイス LightReef. 90. は、バックグラウンドトラヒ. 率次に、?' に対して "75, アルゴリズムを適用し、検知率を測定した。結果を図 0 に示す。. 30. 100. 20. 90. 10. 80. 0 0. 10. 20 30 40 バックグラウンドトラフィック[Mbps]. 50. 70. 60. ]%[ 60 率 50 知検 40 30. 図 .% 5, アルゴリズムのパフォーマンス（シ. ACBM(シグニチャ数1) BM(シグニチャ数1) ACBM(シグニチャ数689) BM(シグニチャ数689). 20. グニチャ数 068 ）. 10 0 0. PC NIDS PC HIDS エッジデバイス LightReef. 100 90 80. 10. 20 30 40 バックグラウンドトラフィック[Mbps]. 50. 60. 図 0% 5, と "75, の検知率評価 ?'汎用 +7. ]% 70 [ 率 60 知 50 検 tr on 40 S 30. "75, アルゴリズムを適用した際に探索木が縮退. することが期待できる場合においても、5, アルゴリズムによる検知率より低下している。"75, アル. 20. ゴリズムの探索木が縮退して検索処理数が少なくな. 10. るよりも、ノード分岐処理が大きくなっていると考. 0 0. 10. 20 30 40 バックグラウンドトラフィック[Mbps]. 50. 60. えられる。また、本実験では、侵入パケットに格納されている文字列が 2 バイトと小さく、+ パケットに格納されている位置も全て同じことから、非常に. 図 /% 5, アルゴリズムのパフォーマンス（シグニチャ数 ' ）. 単純なパターンマッチング処理となっている。このため、5, アルゴリズムを用い、7+< のキャッシュにヒットする処理の方が処理ステップ数が短くなっ. この結果から、シグニチャ数が多いと検知シーケ. ている可能性がある。. ンス処理が多くなり、相対的にパフォーマンスが落ちることがわかる。今回実験に用いた汎用 +7 に ( つの物理インターフェースを搭載し、ソケットインタフェースを用いたソフトウェアフォワーダを動作. カーネル・パケットフィルタと協調動作するの検知率. させると、単一方向上り、または下りのパケット. 次に、カーネルでのパケットフィルタととの. のどちらかのパケットフォワードを行なう場合、. 協調動作による高速化を評価した。# 4 上の. ';;, を越える処理能力を持っていることから、. ?-. バックグラウンドトラヒックが、-;. ルタとを協調動作させたシステムの検知率測定. /;, 前後. で急激に検知率が低下するのは、汎用 +7 の +7 バ. に、によるカーネル・パケットフィ. 結果を図 2 に示す。. −62− ..

(33) カーネル・パケットフィルタ有り(NIDS3) カーネル・パケットフィルタ有り（NIDS1）. リングをハードウェアで処理し、パケット内データ. パケットフィルタ無し(NIDS3) パケットフィルタ無し（NIDS1）. のパターンマッチング処理をソフトウェアで処理す. 100 90. ることにより、高トラヒック時に対応できるを. 80. 構築できることを確認した。. 70. %][ 60 率 50 知検. 100. 40. 90. 30. 80. 20. 70 %][ 率 60 知 50 検 rto nS 40. 10 0. 0. 10. 20 30 40 バックグラウンドトラフィック[Mbps]. 50. 60. シグニチャ数689. 30. 図 2% カーネルでのパケットフィルタと協調動作す. 20. る ?' ?- の検知率、シグニチャ. 10. シグニチャ数1. 0. 数 '(22. 0. 6; ポートへの 7+ アクセスするパケットを !. 図 6%. 10. 20 30 40 バックグラウンドトラフィック[Mbps]. 11. 50. 60. 協調動作によるの検知率. でフィルタリングし、で処理するパケット. の数を減らすことにより、検知処理パフォーマンスは向上した。0;, の高バックグラウンド状況下においても、侵入パケットを検知していることがわ. シリーズの評価. かる。しかし、7+< パフォーマンスの小さい ?では、(;, 以上の高バックグラウンドトラフィック下での検知率は低下している。測定結果にバラツキが多く測定平均に対して、各測定結果は /;Eくらいのバラツキがあったシステムが不安定である。一方、7+< パフォーマンスが高い ?' では、バックグラウンドトラヒックが .;, まで ';;Eの検知率である。これは、パケットフィルタリングによ. 次に、 0; を搭載した ,';;; の ? の検知率を測定した。,';;; は ( つの 7+< によるマルチプロセッシング構成を取り、使用する #3 はマルチプロセッシング対応の ,+. 版であ. る。下記に ,';;; の構成を示す。. 7+<%. B*=? '6: @. % '0A5 #(. % /'(A5. り、での処理負荷が軽減されたためである。し. . メインメモリ. ':5 =% #3 !(.8 ,+ 版. かし、/;, を越えるバックグラウンドトラヒッ. ( #'. ベース. は 4 ポート数 - ';';;';;;5 . ク下では、極端に検知率が低下していくことがわかる。これは、カーネルでのフィルタリング処理の負荷が非常に高くなり、インターフェースカードからカーネルへの ," 転送、カーネルからへの ,". 転送が追い付かなくなっているからだと考え. られる。. ハードウェアソフトウェア協調処理の検知率次に、ハードウェアパケットフィルタととの協調動作による高速化を評価した。"7 のハードウェアフィルタにより、6; 番ポートに 7+ アクセ. 検知率の測定結果を図 8 に示す。 100 90 80 70 60 50 40 30 20 10 0. ][% 率知検. シグニチャ数1332 シグニチャ数2 0. 10. 20 30 40 50 バックグラウンドトラフィック[Mbps]. 60. 図 8% ,';;; の ? パフォーマンス. スするパケットをフィルタリングした場合の検知率を図 6 に示す。0;, の高バックグラウンドトラ. シグニチャ数が ( の場合、バックグラウンドトラ. フィック下においても、';;Eの検知率を実現できる. ヒックが増加しても検知率が ';;E である。しかし. ことを確認した。このことから、パケットフィルタ. ながらシグニチャ数が '--( と多くなると、検索文. −63− /.

(34) 字列数が多くなるため、バックグラウンドトラヒッ. より、高バックグラウンド時にでも安定したを. クが高くなるにつれて検知率が下がる。このことか. 構築できることを確認した。本稿で提案したシステ. らも、ソフトウェアだけの処理だけでは、高バック. ムでは、エッジデバイス上のソフトウェアからハー. グラウンドトラヒック時に侵入検知処理が十分機能. ドウェアフィルタの設定を変更することが可能であ. しなくなる可能性がある事がわかる。. る。例えば、エッジデバイスを通過するパケットのプライオリティを変更することもできる。このよう.

(35). にハードウェアフィルタの設定を運用環境に応じて. 機能の評価. 変更することで、よりセキュアなネットワークが構. 最後に、の $ 34 機能による通信強制遮. 築可能となる。. 断機能の評価を行なった。$ 34 は、侵入検知結果を元に、目的ホストに対して 7+ 4 パケット等を送信することで、通信を強制遮断する。アタッ. 謝辞. カからのポートスキャンに対し、1 アクセス以外. ネットワークセキュリティの情報や、貴重なアド. の 7+ ポート (( と (- において通信強制遮断を試. バイスを頂いた ? 情報流通プラットフォーム研. みた。実験結果を表 ' に示す。. 究所の岡田浩一氏、? 未来ねっと研究所の谷井一人氏、?!" の平塚政樹氏、? サイバーソ. 表 '% ? でのポートスキャン結果状態通常時遮断時 7+ ポート番号 (( ((( (7+ 開閉開閉 7+ 開閉開閉 $? 開閉閉閉 ?<## 開閉閉閉 B 開閉閉閉. リューション研究所の倉橋孝雄氏、株日立国際電気サービスの岡本陽児氏に感謝いたします。. 参考文献. 攻撃対象となった 1 サーバでは、1 アクセスに使用する 6; 番ポート以外に、(( 番ポートが開いていて (- 番ポートが閉じている表 ' 中の通常時。 $ 34 . 機能を動作させると、両ポートとも閉じ. ているように振舞わなければならない。しかし、この実験結果から、7+ 、7+ に対して、((. 番ポートが開いていることをア. タッカに伝えてしまった。これは、アタッカからの 7+ D?. パケットに対し、$ 34 機能による. 7+ 4 パケットが送信される前に、カーネルの. 処理で D?"7A パケットが送信されてしまうからである。= 上のアプリケーションレベルで実行されるだけでは、完全な $ 34 機能をリモートに対して行なうことができない。この対処法として、カーネルとの協調動作が必要だと考える。. まとめを用いたセキュリティシステムを構築する場. 合、7+< のソフトウェア処理だけでは、検知率の高い安定したシステムを構成できない。を導入するネットワークシステムに応じて、検知に不必要なパケットをハードウェアフィルタリングすることに. ! " # $ % &'' ( ))*+ ! #,( &'' , $ %' - ! . / 0 12/ 34 ,/ ) ) !/ - 5,/ 11 / ,67 !/ ,6 08 9,( * ,1 % 6, , %(

(36) :, 6 6

(37)

(38)

(39) / ;1 / <=>/ ? (

(40) , ", ( 2 % (

(41) @ , :,:1 6 $ %

(42)

(43)

(44)

(45) / ;1 / A?>B/ A * ! / / 0 9,,$/ ,6 CÆ

(46) , ( , %, , %6 1 2 !

(47) ! / ;1 / =>=D/ B 伊藤良孝/ 平井伸幸 "6 の検知能力を検証する " ##

(48)

(49) $%/ = D ,% ,6 . # E : %,! ,1,

(50) 2 ! 6 $ % &''( %)/ ;1 B/ DA>D/ < +)* * ,6 *) 0 2, ( ,

(51) ( ,1( % .

(52)

(53) $ )/ / =D= = %% E

(54) -,1 ( %, ( ,1( % 2, , ,( =D= ,6%

(55)

(56) *

(57) $ &'' :,6%% 販売& 住友商事株式会社、製造& 横河電機株式会社 &'' % %F'F$6 !'6,('

(58) 9 5,%1$ 61, .''? '* &'' % % %, ! 2%, ,,1$ $ % &'' %%' ? % ,! %1, .,(,( &'' ! (' @:2'. 1'. %1. −64− 0.

(59)