修士論文概要書 Summary of Master’s Thesis

全文

(1)修士論文概要書 Summary of Master’s Thesis Date of submission: 01/31/2012 専攻名（専門分野）情報理工学専攻 Department. 氏名 Name. 戸部和洋. 学籍番号研究指導名情報システム工学 Student ID Research guidance number 研究題目 Title. 序論. 組織に配布されているが未使用の IP アドレスで構成されるネットワーク（ダークネット）では，異常な通信のみを観測できる．ただし，ダークネットは受動的な観測手段であるため，大量の IP アドレス空間が必要である．一方で，観測専用の未使用アドレス空間を大規模に確保することは難しい．そのため，点在する未使用 IP アドレスを用いてネットワークの観測を行う必要がある．本研究の目的は，以下の 4 つの特徴を利用することで，ネットワーク観測に用いられるダークネット空間を拡張することである．同時に，その空間の自動検出にかかる時間を短縮する．特徴 1：組織に配布されているが未使用の IP アドレスが多い．特徴 2：ホストに動的に設定される IP アドレスが多い．特徴 3：特定の時間帯にのみ使用される IP アドレスがある．特徴 4：ホストが稼働していても，ポート番号の大部分は未使用である．. 2. CD. 5110B095-0. 後藤滋樹. 印 Seal. 仮想センサを用いたダークネット空間の拡張. 概要ダークネットでは，異常な通信のみを観測できる．ダークネットには大量の IP アドレスが必要であるが，観測専用の未使用アドレス空間を大規模に確保することは難しい．未使用 IP アドレス/ポート番号を動的に検出して仮想センサとして観測に用いる Virtual Dark IP アドレス (VDIP) や Virtual Dark Port (VDP) が提案されているが，仮想センサ空間の定量的な分析は十分に行われていない．本研究の目的は，IP アドレスとポート番号の使用状況における特徴を利用して仮想センサ空間を拡張することである．同時に，その空間の検出にかかる時間を短縮する．本研究では，/16 のプレフィックスを持つネットワーク（IPv4 アドレス 65,536 個の空間）を対象とした実験から以下のことが示された．VDIP 検出アルゴリズムのパラメータを適切に設定することで， VDIP 数をほとんど減らずに処理時間を半分以下にでき，VDIP の誤検出を十分に少なくでき，時間帯による使用 IP アドレス変化を仮想センサ空間に反映できる．また，VDP による仮想センサ空間は，このネットワーク空間の最大 99.98%をカバーでき，VDIP による仮想センサ空間を最大 6.84 ポイント拡張できる．. 1. 指導教員 Advisor. 仮想センサ. Virtual Dark IP アドレス組織内から組織外へ一定時間応答を返さない IP アドレスを未使用の IP アドレスと見なし，動的に検出する. 方法が提案されている [1]．このような IP アドレスは Virtual Dark IP アドレス (VDIP) あるいは仮想センサと呼ばれている． VDIP の検出アルゴリズムにおいて，IP アドレスは VDIP 候補，VDIP，使用中 IP アドレスのいずれかの状態を持つ．VDIP 候補はその IP アドレスを送信元とする通信が検出されないまま一定時間 T が経過すると VDIP となる．しかし，VDIP 候補を送信元とする通信が検出されると即座に使用中 IP アドレスとなる．VDIP となってもその IP アドレスを送信元とする通信が検出されると即座に使用中 IP アドレスとなる．使用中 IP アドレスはその IP アドレスを送信元とする通信が検出されないまま一定時間 T が経過すると VDIP 候補へ戻る． VDIP として検出された IP アドレスが設定されたホストが実際は検出時に稼働している，または，検出後に稼働を始めることがある．タイマーT を大きくすると長時間使用されていない IP アドレスだけが VDIP と見なされるようになり VDIP の誤検出を抑えられると期待できる． Virtual Dark Port 仮想センサ空間を 2 次元（IP アドレス，ポート番号）に拡張する Virtual Dark Port (VDP) が提案されている [2]．図 1 に仮想センサ空間の概念図を示す．×印は正規の通信に使用されている空間である．斜線の空間は VDIP としては検出されないが VDP として検出される，VDP により拡張された仮想センサ空間である． a6. X. X. a5 a4. a3. X. X. a2 a1. X. X. p1 p2 p3 p4 p5 p6 p7 p8. 図 1：VDP による仮想センサ空間. 3. 提案手法. 仮想センサ検出にかかる処理時間の短縮法仮想センサ検出アルゴリズムにおいて，タイマーが切れた IP アドレスは状態遷移する．このためには，各 IP アドレスのタイマーを随時確認する必要がある．しかし，1 秒ごとに確認すると処理に時間がかかる．そこで，本研究ではタイマーチェック間隔を長くすることで処理.

(2) 時間の短縮を図る．この間隔を変化させると検出される仮想センサ数が増減するため，実験 1 においてタイマーチェック間隔と仮想センサ数の関係を定量的に分析して，適切な間隔を決定する．仮想センサ誤検出率の制御法仮想センサ検出アルゴリズムではタイマーの値がパラメータとなっており，値を変化させることで，仮想センサの誤検出率を調整できる．しかし，仮想センサの誤検出率を減らそうとタイマーの値を調整すると，仮想センサ数を減らしてしまう．実験 2 において，タイマーの値を変化させたときの VDIP 数と VDIP の誤検出率の関係を定量的に分析して，適切な値を決定する．時間帯による使用 IP アドレス変化の反映法ある時間帯にだけ使用される IP アドレスを仮想センサとして検出できれば，仮想センサ空間を大きくできる．実験 3 において，タイマーの値を適切に設定することで，時間帯による使用 IP アドレス変化を仮想センサ空間に反映できることを示す． VDP による仮想センサ空間の拡張法観測対象のネットワークにおける全ホストの全ポート番号が同時に使用されるとは考えられないため，VDP が VDIP 以上の仮想センサ空間を持つことは明らかである．しかし，VDP が VDIP と比較してどれだけ大きな仮想センサ空間を持つか分析した研究はこれまでにない．そこで，実験 4 において，VDP と VDIP の仮想センサ空間の大きさを定量的に比較する．. 4. 評価実験. データセットあるネットワーク ([masked].0.0/16) のゲートウェイルータにおいて 2011 年 10 月 23 日（日）から 30 日（土）の 1 週間に観測された通信を記録して実験に用いた．このネットワークは 65,536 個の IPv4 アドレスを持つ．実験 1：タイマーチェック間隔の影響タイマーチェック間隔を 1 秒，1 分，1 時間と変化させて，処理時間と VDIP 数への影響を分析し，以下のことを明らかにした． • 処理時間への影響タイマーチェック間隔を 1 分にすると 1 秒にしたときの半分以下の時間で VDIP 検出アルゴリズムの処理が終了する．一方，1 時間にしても処理にかかる時間は 1 分にしたときとほとんど変わらない． • VDIP 数への影響タイマーチェック間隔が 1 秒と 1 分では VDIP 数にほとんど差が出ない（差の平均値：0.569，差の最大値：110）．一方，タイマーチェック間隔が 1 分と 1 時間では 1 時間とした方が VDIP 数は明らかに少ない（差の平均値：32.8，差の最大値：238）．以上の結果から，タイマーチェック間隔を 1 分にすると， VDIP 数はほとんど減らないまま，VDIP 検出アルゴリズムの処理時間を半分以下にできることが分かった．. 実験 2：VDIP 数と誤検出率のトレードオフタイマーの値を 1, 3, 6, 12, 24, 48 時間と変化させて， VDIP 数と VDIP の誤検出数の関係を分析した結果，以下のことが明らかとなった．タイマーの値が小さいほど検出される VDIP 数は多いが誤検出数も多い．ここで，タイマーの値を 3 時間以上に設定すると，1 分あたり（タイマーチェック 1 回あたり）の誤検出数が 1 個を下回る．ただし，本実験では，パケットキャプチャ時に破棄されたパケットによって誤検出率が低下している可能性を考慮して，タイマーの値を 6 時間以上に設定すると VDIP の誤検出が十分に少なくなると結論づける．実験 3：時間帯による使用 IP アドレス変化の反映タイマーの値を 1, 3, 6, 12, 24, 48 時間に設定したときの 1 週間にわたる VDIP 数の変化を分析した結果，以下のことが明らかとなった．タイマーの値が 24 時間（1 日）未満であれば，1 日の中での IP アドレス使用状況の変化が仮想センサ空間に反映されている．しかし，タイマーの値が 24 時間以上になると，その変化が仮想センサ空間に反映されなくなる．実験 4：VDP による仮想センサ空間の拡張 IP アドレスとポート番号で構成される 2 次元空間を仮想センサ空間が何％カバーできるか分析した結果，以下のことが明らかとなった．VDIP は[masked].0.0/16 空間の最大 97.94%をカバーしているに対し，VDP は最大 99.98%，ほぼ全空間をカバーできている．すなわち， VDP は VDIP による仮想センサ空間を 2.04 ポイント拡張している．本ネットワークは未使用 IP アドレスが多いため，VDIP でもかなりの空間をカバーできている．しかし，ほとんどの IP アドレスが使用されているネットワークでは VDP が VDIP の仮想センサ空間を大きく拡張でき， VDP の有用性が増す．例えば，[masked].0.0/16 空間の一部である[masked].0.0/20 空間では，VDP は VDIP による仮想センサ空間を 6.84 ポイント拡張している．. 5. 結論. 本研究では，次の 5 つの発見がなされた．発見 1：タイマーチェック間隔を 1 分にすると VDIP 数はほぼ減らずに処理時間を半分以下にできる．発見 2：タイマーを 6 時間以上にすると VDIP の誤検出が十分に少なくなる．発見 3：タイマーが 24 時間未満であれば 1 日の中での IP アドレス使用状況の変化が仮想センサ空間に反映される．発見 4：VDP による仮想センサ空間は最大で空間の 99.98%をカバーする．発見 5：VDP は VDIP による仮想センサ空間を最大 6.84 ポイント拡張する．. 参考文献 [1] 下田晃弘, 後藤滋樹, “フローデータからの Dark IP 抽出による脅威観測法 , ” 信学論 (B), vol.J92-B, no.1, pp.163–173, 2009. [2] 高橋正綱, “仮想センサを用いた攻撃観測における解析時間の短縮法,” 修士論文, 早稲田大学基幹理工学研究科, 2011..

(3)

修 士 論 文 概 要 書 Summary of Master’s Thesis

修士論文概要書 Summary of Master’s Thesis