分散協調型高感度ネットワーク不正アクセス前兆検
出システムの構築
著者
加藤 寧
/ i ヽ 」ヽ I/ 1
-分散協調型高感度ネットワーク不正アクセス
ヽ前兆検出システムの構築/
(課題番号13558038〆/ 平成13, 14毎科学研究費補助金(基盤研究(B)(2))/ 平成15年3月/ 研究代表者 加藤 寧 / (東北大学大学院情報科学研究科助教授)/
\ ∼ \ \ _1.・ ・.ヽ】t、-ヽ・ 1、I. 1 1「 t ′ ′. \ヽ」、tt一.}平成13, 14年度科学研究費補助金(基盤研究(B)(2))
研究成果報告書
研究静観 分散協調型高感度ネットワーク不正アクセス前兆検出システムの構築 曝鷺番号 13558038 研究組織 研究代表者:加藤 牢 (東北大学大学院情報科学研究科助教授) 研究分担者:太田 耕平 ((秩)サイバー・ソリューションズ主任研究員) 研究経費 平成1 3年度 2,500千円 平成1 4年度 1,500千円 計 4,000千円 研究発轟 1.学会鯵等 【1】油川良太、太田新平、加藤率、根元義幸、 "分散型ネットワークモニ タリングによる不正アクセス早期検出システム" ,電子情報通信学会論 文誌(ち)、印刷中 [21角田裕、太田耕平、加藤牢、根元義幸、 "TTL情報を用いたLEO衛 星ネットワークにおけるTCPの誤再送回避手法'',電子情報通信学会論 文誌(B)、印刷中[3】 Hiro8hi TBunOda, Kohei Ohta, Nei Kato, and YoShiaki Nemoto, "Mobility Management for IPILEO Sateuite Network8 uSing
GeographicalLecation'', IEICETranS・ On Commun‥ Vol・E86lB, No・2,
pp. 490・497(2003) [4]金丸朗、和泉勇治、太田新平,加藤率、根元義幸、 "マルチステー ジ型分散トラヒックモニタリングシステムの提案と評価"、電子情報通 信学会翰文韓(B)、 J85・B, No.8, pp.1285・1294(2002). 【51坂口薫、和泉勇治、太田耕平、加藤率、根元義幸"2次計画法に 基づいたトラヒックパターンの比較によるDoSの追跡'',電子情報通信 学会論文錬(B)、 J85・B, No.8, pp.1295・1303(2002).
[6】 Slmnsuke Naknmura, Nei Kato, Kohei Ohta, and Yoshiaki Nemotd, "A new scheme of combining advanced packet discard and dynamic
bandwidth allocation for low delayAow jitter realtime communication
using CBQ/AlNQ'', IEICETranS. on Commun., Vol.E84-B, No.12,
pp.3124・3132(2001)
2.研究会報告
ll] Tabeb Tarik, Nei Kato, and YoShiaki Nemoto, ``On TCP Performance
over Multi・Hops Sateuite Constellations'',電子情報通信学会技術研究
会報告Joint Conference on Sateuite Commumications, pp153-158,
2002 【2】宇津江康太、和泉勇治、太田耕平、加藤寧、一根元義幸、 "RTTを利用し たボトルネック検出とサーバ選択への応用M、電子情報通信学会技術研究 会報告NS2002・142, pp77・82, 2002 【3】及川達也、和泉勇治、太田耕平、加藤牢、根元義孝、 …統計的クラスタリ ング手法によるネットワーク異常状態の検出''、電子情報通信学会技術研 究報告信学技報, NS2002・143, pp.83-88, 2002. 【41角田裕、太田耕平、加藤寧、根元義幸、 "LEO衛星IPネットワークにお
ける位置情報を用いた移動管理"、電子情報通信学会技術研究報告
CS・2002・6, pp.27・32, 2002 【5】坂口薫、太田耕平、加藤率、根元義章、 "2次計画法を用いたトラヒック パターンの比較によるDoS攻撃の追跡手法の提案"、電子情報通信学会 技術研究報告, CS2001・89, pp.15・22, 2001 【6】油川良太、太田耕平、加藤率、根元義幸、 "分散NIDSによる広域不正アクセスの検知手法の提案"、電子情報通信学会技術研究報告,
CS2001・80, pp.49・54, 2001 3.口頭発表ll】 Tarik Taleb, Nei nato, and Yoshiaki Nemoto, "Effects of Flow Counts
change on TCP Behavior", 2002年電子情報通信学会ソサイエティ大会 講演論文集B・3・9, 2002 【21角田裕、太田耕平、加藤牢、根元義章、 "LEO衛星IPネットワークにお ける移動管理に関する一考察"、 2002年電子情報通信学会総合大会講演 論文集B・3・27, 2002 【31宇津江康太、和泉勇治、太田耕平、加藤牢、根元義章、 "passive/active 計測による動的なサーバ選択のコスト削減…、 2002年電子情報通信学会 総合大会講演論文集B・6・34, 2002 【41及川達也、和泉勇治、太田耕平、加藤牢、根元義章、 "クラスタリング手
法によるネットワーク状態の判別"、 2002年電子情報通信学会総合大会 f
分散協調型高感度ネットワーク不正アクセス
前兆検出システムの構築
1 はじめに
インターネットの急速な発展に伴って、近年ネットワーク経由の不正アクセスが急増し・ 大きな社会問題となっている。利用者が安心してネットワークを使えるか否かは今後のイ ンターネットの更なる発展を占う重要な指標であり、ネットワークを不正アクセスから守 る技術の研究開発はきわめて重要な課題である。 不正アクセスの9割以上はスキャンという行為から始まると報昏されている。スキャン とは攻撃者がネットワーク越しにホストコンピュータ、あるいはその上で行われているサ ービスを詮索し、セキュリティホールを見つけ出す行為である。セキュリティが脆弱なホ ストはこのスキャンによって発見され、侵入、不正利用、あるいは攻撃の対象となる。こ のようなことから、不正アクセスからネットワークを守るにはこの不正アクセスの前兆で あるスキャンを検出し、更にアラームやルータでのコネクション切断といった措置を講じ ることは有効な手段として注目されている。しかし、運用ネットワークにおいて、スキャ ントラヒックは一般ユーザーのトラヒックや管理用トラヒックと混在しており、検出する ことは困難である。ましてスキャン自身が近年巧妙化の一途を辿り,従来のような集中型スキャン以外にランダムスキャンやDNS(Domain Name System)型スキャンといったス
キャン自身を分散化させ、 IDS(Intrusion Detection SySten、侵入検知システム)を回避す
るようなものも出回っており、問題を一層複雑化させている。 本研究では、大規模ネットワーク向けに分散協調方式に基づく高感度なスキャン検出シ ステムを提案し、実用的なシステムとして構築すると共に、インターネットの標準として 目指すことを目的とする。具体的には、分散して存在するネットワークごとの観測情報を マネージャが定期的に収集し、これらの相互の関連付けにより、スキャンをリアルタイム で検出する分散協調型システムを構築する。
2 不正アクセス検出の問題点と課題
これまでの不正アクセス検出は、ネットワークにNIDS(Network・baSed Intrusion DeteetionSyStem)を設置し、その監視ポイントでネットワーク上のトラヒックを監視する ことで行ってきた。例えば、スキャンに関しては、その監視ポイントを通過したパケット の中に、スキャンによるパケットやスキャンされたホストの応答パケットがいくつ含まれ るかといった情報を元に検出を行っている。従来の媒体共有型ネットワークでは、接続さ れているセグメントに流れる全てのトラヒックを1点で監視することが可能であったため、 そのポイントにNIDSを接続すれば、全てのセグメントに対する不正アクセスの検出を行 うことが出来た.しかし、近年では媒体共有型ネットワークから媒体非共有型ネットワー クへの移行が進んでいる。媒体非共有型ネットワークでは、セグメント同士が直接接続さ れるため、全てのセグメントのトラヒックを観測できるポイントは存在しない。これは、 全てのセグメントのトラヒックを観測するためには各セグメントにNIDSを設置しなけれ ばならないと同時に、 1つのNIDSが監視できる範囲が狭まり、結果的に得られる情報が 減ることを意味している。 また、近年になって攻撃者によって行われるスキャン自体が非常に巧妙化している。従 来のスキャンは、対象のホストやネットワークに対して集中的に連続して調査パケットを 送るものであり、スキャン対象に向かうトラヒックを監視していれば検出することができ た。しかし、近年では対象を次々とランダムに変えて行うランダムスキャンや、調査パケ ット同士の間隔を広く取るスロースキャンが横行している。言い換えれば、これらは調査 パケットが時間的・空間的に分散したスキャンであり、このような分散化されたスキャン を単独のNIDSで検出することは非常に困難である。 このような単一のNIDSにおける情報量の減少という問題点に対し、本研究において 我々は、複数のNIDSを相互に協調させることで高感度なスキャン検出の実現を目指す。 NIDS間の協調が実現できれば、 NIDS同士で情報を補完しあうことでネットワ-ク全体 を監視することが可能となり、分散化されたスキャンの全体像を掴み検出につなげること ができる。しかし、 MDS同士の効率的な協調のためには、各NIDSが持つ情報を如何に管理するかが重要である。本研究では、 NIDSを管理するマネージャを設け、マネージャ タ によって各NIDSから情報を収集すると共に、管理トラヒックを極力削減することで効率 的な管理を行うシステムの構築と検証を行う。以下にその成果を述べる。
3 本研究の成果
当初の研究計画・方法に従って、平成13年度および平成14年度の研究によって以下の 研究成果が得られた。 3. 1 分散型NIDSによるスキャン検出方式の確立 分散配置したNIDSとそれを管理するIDSマネージャによってスキャン検出を行う方式 を確立した。我々はTCPのACK侃STパケットを観測し、その情報をDynamicAccessTree によって管理しスキャンを検出する方式を以前より提案しているが、今回はその方式を拡 張した分散型のスキャン検出方式を確立した。本方式では、各NIDSでDynamic Access Treeを作成し、その情報をさらにIDSマネージャに通知する。 IDSマネージャは各NIDS から通知された情報を統合することによって、ネットワークの状態とスキャンの挙動を把 握し、分散型のスキャンに対しても検出が可能となった。 さらに、提案方式によるスキャン検出能力を調査するために、あるバックボーンネット ワーク上に流れたパケットデータを元にシミュレーションを行った。その結果,単独の NIDSでのスキャン検出と比較し、検出数および検出にかかる時間の双方において本方式 の方が優れていることを確認した。特に、本方式では、単独のNIDSでは検出が困難なス ロースキャンも検出することができた。3. 2 MDS同の効率的な協調方式の提案と評価
提案方式においては、 NIDSとIDSマネージャ間での冗長な通信を抑制し、効率的に協 調を行う方式を導入した。この方式では、各NIDSが得られた情報の全てを常にNIDSに 通知するのではなく、既にIDSマネージャや他のNIDSで検出されたスキャンに関する情 3報の送信を行わないことで、冗長な通信を削減する。具体的には、 IDSマネージャはIDg マネ--ジヤ自身と各MDSが既に検出したスキャンの情報(時刻、送信元、スキャンのタ イプ)をWaming通知と呼ばれる通知によって全NIDSに送信する。この情報を元に各 NII)Sは得た情報をIDSマネージャに通知すべきかどうか判断する。また、各NIDSでは 短時間の内に同じスキャンが複数回行われた場合は、 IDSマネージャへ複数回の通知を行 うのではなく、その複数回のスキャンを集約し、 1つの事象としてIDSマネージャへ通知 する。 冗長な通信の抑制効果を検証するためにシミュレーションを行った結果、通信トラヒッ クの削減率は最大で96.4%、平均で約50%であり、これによって冗長な通信を削減し、効 率的にNIDS間の協調が行えていることが確認できた。
4 おわりに
近年、媒体非共有型ネットワークへの移行が進むと共に、不正アクセスの前兆であるス キャンが巧妙化し、検出が困難となっていた。本研究では、単独のNIDSでスキャンを検 出するのではなく、複数地点に分散配置したNIDSが効率的に協調することによってスキ ャンを検出する方式を確立した。実際のネットワークで観測したデータを元にシミュレー ションを行い、提案方式の有効性を確認した。提案方式は、従来の単独のNIDSによるス キャン検出よりも、多くのスキャンを短い時間で検出することができた。また、提案方式 では冗長な通信を抑制することにより、実運用の際に問題となり得るNIDS間の協調のた めに必要なトラヒック量の削減を実現した。よって、本研究の目的は達成できたと言える。 4ABSTRACTS OF RESEARCH PROJECT, GRANTLIN・AID FOR SCIENTIFIC RESEARCH (2002)
1. RESEARCH INSTITUTION NUMBER: 11801
2. RESEARCH INSTITUTIONr TohoknUmiver8ity
3. CATEGORY: Grant・in-Aid for Scientific Re8earCh(B)(2)
4. TERM OF PROJECT: (2001.4 - 2003.3) 5. PROJECT NUMBER: 13558088
6. TITLE OF PROJECT: A Study of high8enSitive inegalacce8S detection
8y8tem using distributed and cooperative SCan detecting method.
7. HEAD INVESTIGATOR: 00236168, Nei Kato, Tbhoku Univer8i切
Graduate School of lnforma也on Science8, As80Ciate Profe880r
8. ImSTIGATORS
99999999, Kohei Ohta,Cyber SolutionS, Inc.
Senior ReSeaLrCher.
9. SUMAWY OF RESEARCH RESULTS
In recent years, netWOrk8withOut Sharing the common media come intowide use. The SCAN, a Sign of inegalacce88eS has become very difBcult to detectfortheir
crab trick.
In this re8eZuCh, we have proposed a distributed and cooperative manner to detect
theBe SCANS 8uCCe8Sfuny by diBperBingthe NmS8 0n mOnitoring location8 0f network8. The Binulation of using realnetwork8 data Showed e飽ctivene88 0f our
propo8ed method. Comparingthe traditionalmethodS, the proposed method can
detect SCANs in short time. Furthermore,the proposed method can re8tmi
redundaJlt COntrOl me卓絶ge8, 80that only Sma皿amount of traBic betweenthe
nanager and NIDS8 are needed for managingthe SyStem. Fromthe8e reSult8, We cw 8aythiB re8earCh has achieved its pal.
10. EEY WORDS
(1) distributed and cooperative detection SV8tem (2)山egd access
5
4) high SenSitive detection
AUTHORS, TITLE OF ARTICLE JOURNAL, VOLtJME・NUMBER, PAGES CONCERNED, YEAR
Ryouta ABURAKAWA, "AnEarly Waning
SyStem for Illegal Acce88 ba8ed on
Distributed Network Moniton7Lピ
Abra XANAMARU, "Propo8al and
Evaluation of Multi Stage Distributed
Traffic Momitoring SyStemカ
Kaoru SAKAGUCHI, ``Tracing DDoS
Attacks by Comparing Ttaffic PattemS
based on Quadratic ProgramZning Method''
IEICETran8. On Commun.(in pre88), (in Jap ane8e)
IEICE Thn8. On Commun, J85・B, No.8,
pp. 1285・ 1294(2002), (in Japanese).
IEICETran8. On Commun, J85・B, No.8, pp. 1295・ 1303(2002), (in Japanese).
TOUR : Tohoku University Repository コメント・シート 本報告書収録の学術雑誌等発表論文は本ファイルに登録しておりません。なお、このうち東北大学 在籍の研究者の論文で、かつ、出版社等から著作権の許諾が得られた論文は、個別にTOUR に登録 しております。 TOUR http://ir.library.tohoku.ac.jp/
