招待論文
侵入検知に関する誤検知低減の研究動向
藤田
直行
†a)Research Trend in Reducing False Detection for Intrusion Detection System
Naoyuki FUJITA
†a)あらまし ネットワークシステムに関するセキュリティについて,最近の研究動向を紹介する.当該研究の守 備範囲は広く,侵入検知,セキュア OS,暗号通信,ウイルス検知,セキュアプロトコルやセキュア環境構築技術 等,多岐にわたる.本論文では,特に,不正侵入検知の誤検知低減技術に焦点を当てる.IDS の構成要素の実現 方法や方針の違いを用いて,IDS に関する分類・研究アプローチを紹介し,今後の課題について述べる.誤検知 の主な原因は,シグネチャ設定の難しさ,プロファイルの無効化,IDS 設定チューニングの難しさ,シグネチャ 更新の煩雑さ,ログに対する不適切な統計処理,IDS のパフォーマンス不足であることを述べ,これら課題に対 する研究成果の一部を紹介する.また,誤検知低減以外の IDS の今後の研究課題として,インシデントのカウン ト基準,IDS の評価方法,IDS 熟練運用者の確保について述べ,侵入検知研究の総合的な推進の必要性について 述べる. キーワード 侵入検知,誤検知,CIDF,false-positive,false-negative
1.
ま え が き
コンピュータネットワークシステム(以下,ネット ワーク)が社会基盤として不可欠となった今日におい て,そのセキュリティに大きな関心が寄せられている. Blaster [1],Sasser [2]やその亜種などによるワーム 被害,不正侵入の前兆を示すポートスキャン,通信の 盗聴やフィッシング等,様々な不正行為が行われてい る.また,2005年4月の個人情報保護法の施行に伴 い,セキュリティ確保が今まで以上に重要視されるよ うになった. このように,ネットワークセキュリティの確保は不 可欠なものとなったが,現実には様々な被害が発生し ており,その対策が急務な問題である.ワーム検知, ウイルス検知,暗号通信,セキュアOS,セキュアプロ トコルやセキュア環境構築技術等,セキュリティ確保 についての多方面からの研究が積極的に行われている が,それらの多くは現状ネットワークの末端通信ノー ドに何らかの変更を必要とするものであり,実利用面 †宇宙航空研究開発機構総合技術研究本部,調布市Japan Aerospace Exploration Agency, 7–44–1 Jindaiji-higashi, Chofu-shi, 182–8522 Japan
a) E-mail: [email protected]
からの早急な問題解決に対応できないという性質があ る.一方,ファイアウォールや侵入検知システム(以 下,IDS: Intrusion Detection Systemと呼ぶことが ある)は,末端通信ノードへの変更なしにネットワー ク全体のセキュリティ確保を実現しようとする技術で あり,現状ネットワークのセキュリティ対策としての 即効性に優れている.また,IDSの研究は,最近盛ん に国内でも取り組み始められるようになったが,現状 は個別技術に対する研究が主体で,侵入検知全体の総 合的な研究はまだ少ない.現状のIDSの課題としては, (1) False-Positive(過剰検知)の低減 (2) False-Negative(過少検知)の低減 (3) IDS熟練運用者の確保 (4) パフォーマンスの確保 (5) 導入・運用コストの低減 (6) 暗号通信への対応 などが挙げられる.特に,IDSのFalse-Positiveと False-Negative,すなわち誤検知については,実運用 上既に大きな問題となっている. これらの背景から,本論文では,IDSの構成要素モ デルを用いながら,IDSについて,誤検知の低減に関 する研究を中心に,最近の研究動向を概観するととも に,侵入検知研究の総合的な推進の必要性について述
べたい.
2.
侵入検知システム
2. 1 侵入検知システムとは 社会基盤としてのネットワークのセキュリティ確保 が重要な課題であるという認識は既に一般社会にま で浸透している.物理的被害以外にも,情報の流出 や破壊は組織に大きなダメージを与える.コンピュー タを相互接続する手段として,ネットワークが一般的 となった今日,ネットワーク経由の情報伝達あるいは 情報管理に最大限の注意が払われるべきであろう.安 全性確保の一つの手段としてファイアウォールととも に,IDSが利用されている.IDSはネットワークを流 れるパケットやコンピュータ内の情報の状況を検査す ることにより,侵入やその前兆が発生していないかを 判定するシステムである.最近では,侵入を検知した 場合,その通信を遮断するなどの方法で侵入を防御す る機能をもつシステムもあり,これをIPS: Intrusion Prevention Systemなどと呼んで区別することもあ る.なお,本論文では,IPSも含めてIDSと呼ぶこと とし,防御機能をもたないシステムを“狭義のIDS” と呼んで区別する. 2. 2 侵入検知システムの分類 2. 2. 1 侵入検知システムの構成要素定義 最初に,IDSの構成要素を定義し,次節以降のIDS の分類や研究分野の整理に利用する.IDSの参照モデルとしてCIDF: The Common In-trusion Detection Framework [3]が提案されている. これは,Event Generators,Event Analyzers, Re-sponse Units,Event DatabaseをIDSの構成機能と して提案している.本論文では,このEvent Genera-tors機能の部分をData CollectorsとData Genera-torsに分割し,また,Log Analyzersを追加した次の 六つの機能で構成されるモデルで議論を行う. (1) データ収集機能(Data Collectors) (2) データ作成機能(Data Generators) (3) データ解析機能(Data Analyzers) (4) アクション機能(Response Units) (5) 記録機能(Event Database) (6) ログ解析機能(Log Analyzers) 2. 2. 2 侵入検知システムの分類 続いて,IDSの分類を行う.本論文では,2. 2. 1で 定義した構成要素に沿って,その実現方法や方針の違 いを明確にすることにより,IDSの分類を行う. (1) データ収集機能による分類 IDSは,データ収集機能の違いによりネットワーク 型,分散型,ホスト型に分類される. ネットワーク型IDSは,ネットワークインタフェー スをデータ収集源とし,そこを流れるパケットを監視 することにより,不正を検知するものである.通常ファ イアウォールと同様の位置に設置することにより,広 範囲の監視を可能としている.例えば,インターネッ トと組織内ネットワークの境界に設置することによ り,組織内ネットワークのすべてのホストに対するイ ンターネットからの不正行為を検知することが可能と なる.検知可能な不正行為としては,例えば,DDoS:
Distributed Denial of Service Attack(分散サービス 不能攻撃),広範囲のネットワークアドレスに対する ポートスキャン攻撃などがある. ネットワーク型IDSの変形として,分散型がある. これは,ネットワーク型IDSのデータ収集機能を, 場合によってはデータ作成機能など他の機能も含め て,ネットワーク上に複数配置したIDSのことで, AAFID [4], [5],DShield [6]等があり,広域での侵入 検知や,多様なデータ解析機能の連携効果が特徴で ある. ホスト型IDSは,ホスト内の各種ログファイル,ソ ケットインタフェースやメモリの状態などをデータ収 集源とし,変更や改ざんまたは定義外のアクセスを監 視し不正を検知するものである.監視対象のホスト 個々にインストールする必要があるため,実運用では, 組織内の主要なホスト,例えば,インターネットから 直接アクセスを受けるWebサーバやftpサーバなど 適用範囲を絞って利用することが多い.適用範囲がホ スト単体に限定される反面,当該ホストのメモリ利用 状態などネットワーク型IDSでは収集不可能なホスト ごとの詳細な情報を利用して不正行為の検出ができる という利点がある.検知可能な不正行為としては,例 えば,バッファオーバフロー攻撃,不正なログイン等 がある. (2) データ解析機能またはログ解析機能の違いに よる分類 IDSは,データ解析機能またはログ解析機能の違い によりシグネチャマッチ型(または,不正検知型),ア ノマリディテクション型(または,異常検知型),ログ 解析型に分類される. シグネチャマッチ型IDSは,事前に定義されてい る不正アクセスパターン(この最小単位を,“シグネ
チャ”と呼ぶ)と収集したデータをパターンマッチ 等により比較し不正を検知するものである.不正ア クセスパターンをいかに正確に,ないしは,厳密に 記述できるかで,誤検知(つまり,False-Positiveや False-Negative)の度合が大きく変化する.既に知ら れているウイルスの検知に優れている一方,未知や亜 種の不正行為を検知できないという欠点がある.また, 最新の不正行為を検知するには,シグネチャをいつで も最新の状態に保持し続けなければならないという煩 雑さの解決も運用上の一つの課題となっている. アノマリディテクション型IDSは,正しい利用状 態におけるシステムやユーザの挙動をもとにプロファ イルを作成し,このプロファイルと収集したデータを 比較しその差異が大きい場合に不正として検知するも のである.概念的には未知の不正行為も検知できる能 力をもっているが,実際上はバッファオーバフロー攻 撃検知のような特定条件下でその能力を発揮するに止 まっており,正しいとされるプロファイルを作成する のに時間がかかる,作成したプロファイルは組織のセ キュリティポリシーや運用状態によって変化するため シグネチャのようにネットワークコミュニティ全体の 財産として共有し相互利用することが難しいという欠 点もある. アノマリディテクション型IDSの研究は古くから 行われておりIDS研究はここから始まったといえる が[7], [8],近年まではシグネチャマッチ型IDSの研究 が主であり,アノマリディテクション型IDSの概念は, ログ解析型IDSで利用されてきた.しかし,最近に なり,ホスト型IDSにおいて,バッファオーバフロー 攻撃の検知等を目的として,関数の呼出し前後に関数 呼出しが正しく実行されているかを検証する処理を挿 入する方法[9],脆弱な変数に関連付けて作成した検 査子を検証することによりバッファオーバフローを検 知する方法[10],CPUの例外デバッグ/命令トレース 機能を用いて実行アドレスの遷移を監視する方法[11], バイナリーコードの情報と実行時のスタックの情報を 照合することによって制御フローの異常を検知する方 法[12]等の提案が行われるようになってきており,特 定の攻撃に対するものではあるが,アノマリディテク ション型IDSの研究も盛んになってきている. DShieldは,不正行為発生情報をインターネット利 用者に提供することを目指したログ解析機能を実現す るシステムであるともいえるが,これと同じ視点に立 ち,ログ解析機能に着目した研究[13]∼[16]も行われ ている.本論文では,これらをログ解析型IDSの研究 と呼ぶことにする.ログ解析型IDSは,異常検知を目 的としている.アノマリディテクション型IDSも異常 検知を目的としているが,その解析対象がホスト上の ユーザの利用プロファイルそのものであるのに対し, ログ解析型IDSはシグネチャマッチ型IDS等が出力 するログである点が異なる.異なるアルゴリズムをも つ複数のデータ解析部から出力されるログを分析対象 とするため,現時点での実用的False-Positive低減に 最適なアプローチの一つであると考えられる(図1). 実 用 的 な 利 用 と し て ,セ キュリ ティ監 視 セ ン タ [17], [18]における監視等を目的とした研究が進んでい る[19].ログ解析機能の研究では,データマイニング やテキストマイニングの手法をネットワークセキュリ ティに適用するアプローチ[20]∼[25]も多く見られる. (3) アクション機能の違いによる分類 IDSは,アクション機能の違いにより,狭義のIDS とIPSに分類される. 狭義のIDSは,データ解析部が生成する不正行為に 関する判定結果等を受け,ネットワーク管理者に不正 行為が発生したことを通知したり,ログに記録するな どの不正行為の検知機能のみが実現されており,防御 機能はない. 一方,IPSは,これら狭義のIDSの機能に加え,不 正行為が発生している通信を遮断し,いけにえネット ワーク(ハニーポットと呼ぶこともある)へ誘導する 図 1 複数ログの AND による実用的な不正通信検知 Fig. 1 Practical illegal traffic detection using AND
など,不正行為が実際の被害につながらないようなア クションを発生させるものである. ここで,IDSの構成要素と関連づけてIDSの分類 を再整理しておく(図2). この分類に沿って,狭義のIDSについて,いくつか の既存システムを分類すると表1のようになる.
3.
誤検知低減に関する研究動向
IDSを実運用する場合,誤検知による大量ログの出 力が大きな課題となっている.例えば,500台のホス トが接続されたIPv4ネットワークをSnort [27]で監 視した場合,1日平均のログ出力数97,976件のうち, 4.42%が実際に被攻撃ホストが被害を受ける可能性の ある攻撃のログであったことが報告されている[31]. この監視システムは複数人による構成により見逃しや 発見の遅れを防ごうとしているが,コストパフォーマ ンスが悪いことが課題となっている.ここで,誤検知と は,侵入行為ではない活動を侵入行為として検知し報 告してしまったり,侵入行為を検知できなかったりす ることである.前者をFalse-Positive,後者を False-図 2 IDSの構成要素を用いた侵入検知システムの分類 Fig. 2 Classification of IDS based on its components.表 1 狭義の IDS の種類と既存システムの例
Table 1 Type of IDS in a narrow sense and its examples for existing system.
Negativeと呼ぶ.大量ログの出力はFalse-Positiveに より発生する.例えば,シグネチャマッチ型IDSで 不正行為以外の通信にも頻繁に現れるシグネチャを設 定したために,正常な通信を侵入行為と間違えて検知 してしまう,アノマリディテクション型IDSで特殊な ネットワークの利用状態のときに,たまたまプロファ イル作成をし,そのプロファイルを使用して監視を 行った結果,通常のネットワーク利用状況を異常状態 であると誤検知してしまうなどがFalse-Positiveの例 である.また,IDSのデータ収集機能がパケットを取 りこぼすことにより,本来シグネチャにマッチするは ずの通信を見逃してしまうなどがFalse-Negativeの 例である.また,ログ解析型IDSでは,大量のログが 発生すること自体は前提条件としているが,この大量 のログ発生自体がFalse-Positiveであるともいえる. しかし,ログ解析型IDSではこの大量のログに統計 処理の手法等を適用し,不正行為のログを選別するこ とでFalse-Positiveの問題を解決しようとしている. この過程で,例えば適用した統計処理方法では監視し ているネットワークの不正行為を選別できない場合,
False-Negativeが発生する. False-Positiveの主な原因は, (1) シグネチャ設定の難しさ (2) プロファイルの無効化 (3) IDS設定チューニングの難しさ (4) シグネチャ更新の煩雑さ False-Negativeの主な原因は, (5) ログに対する不適切な統計処理 (6) IDSのパフォーマンス不足 などである.次節以降では,これら課題に関する研究 状況を概観する. 3. 1 シグネチャ設定の難しさ シグネチャマッチ型IDSは,ワーム活動,不正侵入 前の準備段階として行われるポートスキャン活動など をシグネチャ化し,このシグネチャとデータ作成機能に より取得した実際の通信とをパターンマッチすること により,実際の通信の中の当該不正侵入行為を検知す るものである.これは,既知な不正侵入行為を100%の 確率で検知できる反面,新種の不正侵入行為はもとよ り既知不正侵入行為のごく一部に変更が加わった亜種 侵入行為(例えば,使用ポート番号やNo Operation コードの挿入)を検知できないというFalse-Negative 問題がある. 一 方 で ,シ グ ネ チャマッチ 型IDS の も う 一 つ の 課題として,False-Positive の多さが指摘されてい る[25], [32]∼[37].また,誤検知ではないが,シグネ チャと不正侵入行為が必ずしも1対1に対応しない 点がシグネチャマッチ型IDSの問題点であるとの指 摘[36]もある.この問題により,大量のログが出力さ れている. この誤検知問題の原因は,本当に検知したい不正行 為をシグネチャとして記述できていないという点にあ る.つまり,False-Positiveは不正行為以外の通信に 現れるパターンも含んだシグネチャとなってしまって いることにより,False-Negativeは不正行為の通信に 現れるパターンをシグネチャにできていないことによ り,発生すると考えられる(図3). この問題は,シグネチャを実際の不正行為通信のパ ターンと一致させるように作成することで解決できる が,現実にはこの二つの一致が難しい.これを解決す るために,いくつかの提案が行われている. TCPシーケンス番号とアクノリッジ番号の両方を 用いることで攻撃のための通信とその応答通信をペ アにして再構築し,シグネチャ記述においてこの攻 図 3 シグネチャ,不正行為と誤検知の関係
Fig. 3 Relationships among signature, unauthorized access and false detection.
撃—応答の関係を表現できる方法[37]の提案が行わ
れている.また,攻撃の検知だけでなく,その攻撃に 対する応答も同時に監視することで攻撃の成否を判断
する方法[31]により,5日間弱の監視期間において,
“Windows netbios name”検索攻撃の検知数59,764
件に対して,攻撃が成功したのは約5%の2,926件で あることをIDS自身で判定してログ出力できること が示されている.これは,1日平均約580件のインシ デントの処理量に相当するが,複数人の監視者で対応 可能な範囲と考えられる程度にログ出力を抑制できて いるといえる. また,複数の通信を関連づけてシグネチャマッチさ せる方法として前出の[37]以外にも,ワームの感染プ ロセスに注目した検知方法[38]は,6台の端末環境で 検知条件のしきい値をかなり低く設定したにもかかわ らず,False-Positiveが2件しか発生しないことを示 している.この結果は,しきい値の設定が難しい,つ まり,IDS設定チューニングの難しさを示す結果であ るとも考えられる. 文献[31], [37]は,攻撃とその応答の両方を関連づ けて監視することを提案しているが,文献[39]の提 案は,攻撃のパケット群のみの監視で未知ワームの検 知を実現しようとするものである.約半年間にわたり honeyd0.8bを使用して取得したデータを,提案シス テムと比較対象とするためのSnort2.2.0の双方に投入 し,Snortが検出しないワームについても提案システ ムが検知できたことを示している.しかし,提案シス テムのパラメータの設定次第では検出できないワーム も存在することも述べられている. 3. 2 プロファイルの無効化 もともとプロファイルというのは,個別ネットワー
クごとに異なるもので,更には,時間によっても変化 するものである.アノマリディテクション型IDSは, 正常利用時のプロファイルと監視時の状態を比較する ことで異常検知を実現するものであるが,この正常利 用時プロファイルの作成が非常に困難であり,実用に 至っていないのが現状である.しかし,最近の研究で は,被害の頻度が高いバッファオーバフロー攻撃に対 するホスト型IDSによるアノマリディテクション型 IDSの研究が盛んに行われている[9]∼[12]. 文献[9]では,検証関数というものを関数呼出しの 始まりと終わりに挿入し,プログラムの制御フローを 変更することで異常を検知する手法が提案されており, オーバヘッドを抑えつつ誤検知が発生しない,OS側 での導入と運用コストを必要とするだけでユーザ側に 特別の操作が必要ないといった利点が挙げられている が,性能評価は今後の課題となっている. 文献[10]では,検証子というものを戻りアドレス・ 関数ポインタ等プログラムの制御が奪われる原因とな る脆弱な変数に対して作成し,バッファオーバフロー が発生した可能性がある場合に検証子を検証し,改ざ ん検知を行う手法が提案されており,改ざんが検知さ れた場合,その変数を改ざん前に戻してバッファオー バフロー攻撃を無効化する利点が示されているが,実 装・評価が今後の課題となっている. 文献[11]では,CPUの例外デバッグ/命令トレース 機能を用いて分岐命令処理をフィルタし,実行アドレ スの遷移をチェックすることで不正プロセスを実時間 で制御する手法が提案されている.ソフトウェアのリ ビルドを行うことなく不正プロセスの停止が可能なこ とが特徴として挙げられており,また,負荷テストに より提案システム稼動時の負荷増加は非常に小さい ことを示している.今後の課題としては更に適切なブ レークポイントの設定やリターンアドレスの修復など が挙げられている. 文献[12]では,Wagnerらの方法[40]を改良し,バ イナリーコードの情報と実行時のスタックの情報を照 合することによってプログラムの制御フローの異常を 検知するシステムを提案している.学習をしなくても False-Positiveが出ない,Wagnerらの方法に比べて オーバヘッドの削減と検知精度の向上が期待できる, 攻撃コードが正常な実行を偽装することが難しい,学 習による探索履歴の蓄積が実行時オーバヘッドを削減 する等の利点が述べられている.今後の課題としては, 大規模なアプリケーションでの実験,検索精度の向上 等が挙げられている. 3. 3 ログに対する不適切な統計処理 開放型大規模ネットワークにおけるIDS運用の問 題点として,不正侵入の検出作業の多忙が指摘されて いる[36].この直接の原因は多量のログがIDS運用者 に集中することであり,これを膨大なIDSログからの 不正アクセス抽出作業を支援する通報・検索システム を構築することにより,14カ月間に発生した不正行為 と疑われる事象76回のうち,84%にあたる64回を, 運用者があらかじめ設定した関心度や関連ログを一つ にまとめる通報機能と,通報機能からのインシデント 情報を補完するためのアラームデータベース検索機能 を用い,当該システムで発見したことを示している. 当該システム運用開始前の不正アクセス検出記録が存 在しないため,運用前後の定量的比較は行われていな いが,不正アクセスの早期発見と対策にシステムが効 果をあげていると結論している.一方で,16%の不正 行為を発見できなかったわけだが,これは当該システ ムのログの統計処理が適切でなかったために発生した False-Negativeの例であるといえる.
SOC(Security Operation Center)運用における
問題点として,異なるIDS種別ごとのログ・運用手 順の統合問題,既存分析ツールには攻撃傾向の把握に 適している項目に関する分析機能がないこと, False-Positiveの設計による大量ログによりかすかな痕跡 を見逃してしまう問題,既存頻度分析機能ではネット ワーク構成や新たな攻撃の出現に対応できない点が指 摘されている[25].複数のIDSから出力されるログを 統合管理し,イベントの出力特性の異常性を比率分析 と稀率分析で評価するIDSログ分析支援システムを構 築することにより,従来から行われている頻度分析結 果の中から減少傾向にある不要なイベントや発見が困 難であった頻度値が小さいながらも急増するイベント の抽出が可能であることが示されている[25].この結 果は,従来から用いられている統計処理手法である頻 度解析ではなく,比率分析や稀率分析という新しい手 法を用いて統計処理することでFalse-Negativeを低 減した例である.なお,ここでの評価方法は,Attack Signatureに関する従来からの頻度分析と,提案手法 である比率分析及び稀率分析の結果比較である. 3. 4 誤検知低減に関するその他の研究課題 前節までの課題以外にも,現在は必ずしも積極的に は研究されていないが,今後のIDSの誤検知低減に不 可欠な研究課題がある.本節ではそれらを簡単に列挙
しておく. 3. 4. 1 IDS設定チューニングの難しさ 文献[38]の例でも分かるとおり,IDSの各種パラ メータの設定は思いのほか難しい.しきい値の設定次 第で,インシデントの数を0にすることも,大半の通 信をインシデントとして検出させることもできてしま う.パラメータ設定に関する問題は今後,個別環境に 合ったパラメータ設定手法の研究,パラメータ設定が 簡単なIDSの開発等IDS研究のあらゆる方面から取 り組まなければならない課題であると考える.現時点 では,図1に示したように,False-Positive側に設定 された複数のIDSのインシデントのANDをとるこ とで実際に着目したい不正通信を絞り込む手法,例え ば,ログ解析型IDSの手法が実用システムを構築する のに一番近道なのではないか,そして,ここで得られ た知見を集約し,一つのIDSの中のデータ解析機能の 精度を高めていく研究につなげていくことが不可欠で あると考える. 3. 4. 2 シグネチャ更新の煩雑さ ウイルス検知ソフトウェアの場合も同様だが,IDS に関してもシグネチャの更新作業は運用上の大きな問 題である.自動更新機能を備えたシステムも多数存在 しているが,最近の新種の不正行為手法の伝搬は,し ばしばこの自動更新機能より早く,シグネチャ更新の 前に攻撃にあってしまうケースが増えてきている.ア ノマリディテクション型IDSの発展や,シグネチャ更 新の更なる高速化が期待される. 3. 4. 3 IDSのパフォーマンス不足 False-Negativeの低減の観点などから,IDSのパ フォーマンス向上に関する研究も重要である.IDSを 複数並べて並列処理させる,10 Gbit/sインタフェー スカードを搭載した製品の開発などが行われている. 一昔前には,組織のもつインターネットとの接続回線 の速度は100 Mbit/sあれば速い方であったが,昨今 図 4 Snortにおける “Nimda” ワームの検出シグネチャの例 Fig. 4 Example of the “Nimda” worm detection signature for snort.
1 Gbit/s接続は普通に行われるようになり,10 Gbit/s, 40 Gbit/s等次世代のイーサネット技術の普及により, 今後ますますIDSのパフォーマンス向上が望まれてく るだろう.
4. IDS
のその他の研究課題
本章では,誤検知低減以外のIDSの研究課題につい て,今後研究を進めていくべきと考える三つの項目に ついて論じる. 4. 1 インシデントのカウント基準 IDSに関する議論を一般的に行う際に問題となるの が,不正行為やインシデントのカウントの仕方である. 例えば,文献[36]には,14カ月間に76件という数字 や,1日に百万件という数字が現れ,その絶対値には 非常に大きな幅があり,その客観的基準の設定が必要 と考えられる.実は,カウント対象が大きく異なるた めこのような数字が出てくることになる.ここでこれ らのカウントについてあらためて整理しておく.カウ ント対象を細かい単位から列挙していくと,送信元・ 受信先を区別しない1パケット単位のシグネチャマッ チ数,送信元・受信先を区別しない複数パケット単位 (例えば,“Nimda”ワームの通信パターン群を一つの 単位として)の不正アクセスパターンマッチ数,送信 元に着目したカウント,受信先に着目したカウント等 となる.“Nimda”ワームについてこれらのカウント を考えてみる.図4のSnortにおける“Nimda”ワー ムの検出シグネチャを例にとり,それぞれのカウント を比較してみる. 図4より,“Nimda”ワーム関連のシグネチャは3 種類あることが分かる.ここで,このシグネチャに マッチするノードとして,$EXTERNAL NETには 10個の送信元が(つまり,これが“Nimda”ワームに 感染し不正アクセスを発信しているノードである), $HOME NETには100個の受信先(これが,攻撃を受けているノードである)が存在すると仮定する.こ のとき, (1) 送信元・受信先を区別しない1パケット単位 のシグネチャマッチ数は,不正な通信セッション数の カウントを意味し,3,000 = 3 × 10 × 100 (2) 送信元・受信先を区別しない複数パケット単 位の不正アクセスパターンマッチ数は,“Nimda”ワー ムが攻撃を実施した回数を意味し,1000 = 10× 100 (3) 送信元に着目したカウント数は,“Nimda” ワームが発症しているノード数を意味し,10 (4) 受信先に着目したカウント数は,“Nimda” ワームからの攻撃を受けたノード数を意味し,100 となる.不正なネットワークトラヒック数を把握した いのであれば(1)が,ワームに感染したかもしれな いノードの把握をしたいのであれば(4)がそれぞれ 必要になる.研究対象や運用管理の必要性に合わせて どのカウントを把握すべきかが決まり,その客観的基 準の研究者・技術者間での共有が望まれる. 4. 2 IDSの評価方法 3.で紹介した研究では,それぞれの立場で提案手法 の評価を行っている.例えば,500台程度の端末が接続 された実運用ネットワーク上で提案システムを5日間 動作させ,運用コスト,誤検知がどの程度であるかを評 価したり,数台の端末が接続された実運用ネットワー ク上で提案システムを1日間動作させ,False-Positive の評価をしたり,実運用ネットワーク上に提案システ ムと既存システムを約半年間並存させその検知能力を 比較したりと,評価期間,対象ネットワーク,評価項 目等,評価方法は千差万別である.現状の研究対象が 個別技術に焦点を当てているため,評価方法が統一さ れていない現状は致し方ない部分もあるが,IDSの総 合的な研究推進には,今後,研究者間で共有できる評 価方法の確立が求められる. 4. 3 IDS熟練運用者の確保 攻撃ツールやワームなどの不正侵入行為のプロセ スが複雑化し複数の脆弱性を悪用するものが出現し てきた現在,シグネチャの記述性の向上や関連した 通信を一つの固まりとして評価する仕組みの研究が 始まっていることは3.で述べたが,このアプローチ によるIDSのFalse-Positive低減の努力は,今後ま すます求められてくると考えられる.これは,実運 用面において,通信層の知識とその上で動作してい るアプリケーション層の知識を総動員して侵入検知 精度を向上させようというアプローチである.これ には,IDS技術者の育成とともに,ネットワーク技 術者とアプリケーション技術者が分業しながら一体 となってシグネチャ作りを実行できるシステム作りや IDSの構造化が必要になってくると考える.また,シ グネチャ作成のコスト低減のために,シグネチャの共 有財産化についても考える必要がある.IDMEF:
In-trusion Detection Message Exchange Format [45],
IDXP: Intrusion Detection Exchange Protocol [46]
や,Intrusion Detection Message MIB [47]等の標準 化の動きが共有財産化にとって重要な役割を果たすよ うになっていくのではないだろうか.
5.
その他のセキュリティ研究
冒頭に述べたとおり,IDSは,既存の末端通信ノー ドに影響を与えることなくネットワークセキュリティ を確保できるため,即効性のある手法である.しかし, ネットワークを守るべきネットワークとそれ以外に分 割し,その間にこれらのシステムを設置することによ りセキュリティ確保を実現するので,これらのシステ ムを通過しない通信による不正利用を防止すること はできない.つまり,組織内ネットワークに閉じたセ キュリティ対策[41]や,個別端末自体のセキュリティ 向上には別の手法が必要となる.IDSは今後も組織 ネットワークのセキュリティ状態監視などの目的で利 用され続けるものと考えられるが,これと並行して, 暗号化メモリシステム[42],セキュアOS(SELinux: Security Enhanced Linux)[43],トランスポート層暗号方式[44]等の暗号通信や認証機能の個別端末への適 用を進めていく必要があると考える.これらが実現し て初めて,ネットワークがインフラとして真にセキュ アなものになると考えられる. ここで,IDSにとって大きな課題が出てくる.暗号 通信を前提としてネットワークインフラが整備された 場合のIDSの利用可能性である.現在のネットワーク システム形態ではIDSは暗号通信を復号できないた め,IDSが無力化してしまう.これを解決するには, 暗号通信インフラの中にIDSを組み込む必要がある. P2Pの暗号通信が行われる場合には,末端通信ノード にIDS機能を組み込み,復号後の通信内容を検査する などのシステム形態の実現が必要となる.この場合, 現在のIDSと違い,万人がIDSを利用することにな り,現在のウイルス検知ソフトと同様にIDS利用者に 専門知識を期待することはできなくなる.ますますの 検知精度の向上とシグネチャやヒューリスティックス
手法の自動化・高精度化が求められるであろう.同時 に,P2P暗号路確立に際しての通信相手認証も不可欠 になってくると考えられる.信用できない相手と暗号 路を確立することは非常に危険なことである.
6.
む す び
侵入検知に関する誤検知低減の研究動向を概観した. まず,IDSの構成要素モデルを定義し,各機能の実現 方式により,IDSをいくつかのカテゴリーで分類整理 した(2.).誤検知の主原因は,シグネチャ設定の難し さ,プロファイルの無効化,IDS設定チューニングの 難しさ,シグネチャ更新の煩雑さ,ログに対する不適 切な統計処理,IDSのパフォーマンス不足であること を述べ,これら課題に対する研究成果の一部を紹介し た(3.). シグネチャマッチ型IDSでは,真に検知したい不正 行為をどれだけ正確にシグネチャとして記述できるよ うにするかという視点からの研究が行われている.精 緻なシグネチャマッチを実行するようになると,その 処理速度や情報欠落によるIDSの性能低下が今後の 大きな課題となってくると考えられる. アノマリディテクション型IDSの研究は,コンピュー タ技術者にとって得意な課題であるバッファオーバフ ロー攻撃に対する対策として最近研究が盛んに行われ ている.しかし,この攻撃は不正侵入行為のごく一部 であるため,今後は,ユーザのコンピュータ,ネット ワークや,CPUリソース等の利用プロファイル等も解 析対象とするようなアノマリディテクション型IDSの 研究を行うことにより,より広範な不正侵入をカバー できる手法や技術の開発が望まれる. ログ分析型IDSでは,様々なログ解析手法をIDS の出力ログに適用し実用的なIDSの構築を行う研究 が盛んに行われている.この方針は,実用的なIDS実 現に現時点で最適な手法の一つであると考えるが,ロ グ解析に止まることなく,その成果を単体IDSのデー タ解析機能の精度向上へフィードバックさせることが 重要だと考える. 誤検知低減以外のIDSの今後の研究課題として,イ ンシデントのカウント基準,IDSの評価方法,IDS熟 練運用者の確保について述べた(4.).また,IDS以 外のセキュリティ研究について触れ,今後はIDSと 暗号通信システムの連携が不可欠であることを述べた (5.). 文 献 [1] シマンテック,http://www.symantec.com/region/jp/ avcenter/venc/data/pf/jp-w32.blaster.f.worm.html [2] シマンテック,http://www.symantec.com/region/jp/ avcenter/venc/data/w32.sasser.worm.html[3] “The common intrusion detection framework,” http://gost.isi.edu/cidf/papers/cidf-isw.txt [4] J.S. Balasubramaniyan, J.O. Garcia-Fernandez, D.
Isacoff, E. Spafford, and D. Zamboni, “An archi-tecture for intrusion detection using autonomous agents,” Purdue University, Coast TR 98/05, June 1998.
[5] “Autonomous agents for intrusion detection,” http://www.cerias.purdue.edu/about/history/coast/ projects/aafid.php
[6] DShield.org, “Distributed intrusion detection sys-tem,” http://www.dshield.org/
[7] J.P. Anderson, Computer Security Threat Monitor-ing and Surveillance, James P. Anderson Co., PA., 1980.
[8] D.E. Denning, “An intrusion-detection model,” IEEE Trans. Softw. Eng., vol.SE-13, no.2, pp.222–232, Feb. 1987. [9] 鑪 講平,田端利宏,櫻井幸一,“能動的な制御フローの 変更による異常検知手法の提案,”情処学研報,vol.2005, no.33, pp.75–80, March 2005. [10] 長野文昭,鑪 講平,田端利宏,櫻井幸一,“データ改ざ ん検出によるバッファオーバフロー検知システムの提案,”
情処学研報,vol.2005, no.33, pp.81–86, March 2005. [11] 安藤類央,武藤佳恭,“改良例外ハンドラによる実時間オー
バーフロー防御システム,”情処学研報,vol.2005, no.33, pp.333–337, March 2005.
[12] 阿部洋丈,大山恵弘,岡 瑞起,加藤和彦,“静的解析に
基づく侵入検知システムの最適化,”情処学論:コンピュー ティングシステム,vol.45, no.SIG 3 (ACS 5), pp.11–20, March 2004.
[13] 大谷尚通,桑田喜隆,小迫明徳,井上 潮,“統合データ
ベースを用いた不正アクセス検出情報の分析及び意思決定 支援システム,”第 13 回データ工学ワークショップ予稿集, A1-6, pp.1–10, 2002.
[14] A. Valdes and K. Skinner, “Probabilistic alert corre-lation,” Proc. 4th International Symposium on Re-cent Advances in Intrusion Detection (RAID 2001), LNCS2212, pp.54–68, 2001.
[15] O. Dain and R.K. Cunningham, “Fusing a heteroge-neous alert stream into scenarios,” Proc. 2001 ACM Workshop on Data Mining for Security Applications, pp.1–13, Sept. 2001.
[16] F. Cuppens and A. Miege, “Alert correlation in a co-operative intrusion detection framework,” Proc. 2002 IEEE Symposium on Security and Privacy, pp.202– 215, 2002.
[17] “イ ン タ ー ネット 定 点 観 測 シ ス テ ム(ISDAS),” JPCERT/CC, http://www.jpcert.or/jp/isdas/ [18] 戸田洋三,松本直人,宮川雄一,“ISDAS: Internet Scan
Data Acquisition System,”情処学会,コンピュータセ キュリティシステムシンポジウム(CSS2004), pp.199– 203, 2004. [19] 竹森敬祐,三宅 優,田中俊昭,“ネットワーク間プロファ イル比較による攻撃異常検知,”情処学研報,vol.2005, no.33, pp.87–92, March 2005.
[20] W. Lee, S.J. Stolfo, and K.W. Mok, “Adaptive intru-sion detection: A data mining approach,” Artificaial Intelligence Review, vol.13, no.6, pp.533–567, 2000. [21] 高田哲司,小池英樹,“見えログ:情報視覚化とテキストマ イニングを用いたログ情報ブラウザ,”情処学論,vol.41, no.12, pp.3265–3275, Dec. 2000. [22] 宮本貴朗,泉 正夫,田村武志,福永邦雄,“ネットワー ク・サーバ運用監視支援システム,”システム制御情報学 会論文誌,vol.15, no.6, pp.279–287, 2002.
[23] K. Julisch, “Mining alarm clusters to improve alarm handling efficiency,” Proc. 17th Annual Computer Security Applications Conference (ACSAC2001), pp.12–21, 2001.
[24] F. Cuppens, “Managing alerts in a multi-intrusion detection environment,” Proc. 17th Annual Computer Security Applications Conference (ACSAC2001), pp.22–31, 2001.
[25] 竹森敬 祐,三宅 優,中尾 康二,菅 谷史昭 ,笹瀬 巌, “Security Operation Centerのための IDS ログ分析支 援システム,”信学論(A),vol.J87-A, no.6, pp.816–825, June 2004.
[26] Enterasys Networks, DRAGON 6.2侵入検知システム DataSheet, http://www.enterasys.co.jp/products/ ids/PDFs/Dragon6.2 data.pdf
[27] B. Caswell, J. Beale, J.C. Foster, J. Posluns, and R. Russell(著),渡辺勝弘,鹿田幸治,Snort 翻訳プロジェ クト(訳),Snort 2.0 侵入検知,ソフトバンクパブリッシ ング,東京,2004.
[28] Cisco Systems, Cisco IDS/IPS,
http://www.cisco.com/japanese/warp/public/3/jp/ product/hs/security/ids4200/
[29] Internet Security Systems, Inc., RealSecure Network Sensor Policy Guide Version 7.0,
http://www.isskk.co.jp/manual/ RS NetSensor PG 7.0j.pdf, 2002
[30] Tripwire.org ? Home of the Tripwire Open Source Project, http://www.tripwire.org/
[31] 水谷正慶,白畑 真,南 政樹,村井 純,“Session Based IDS の 設 計 と 実 装 ,” 信 学 論(B),vol.J88-B, no.3, pp.551–562, March 2005.
[32] B. Mukherjee, L.T. Heberlein, and K.N. Levitt, “Net-work intrusion detection,” IEEE Netw., vol.8, no.3, pp.26–41, 1994. [33] 大宅裕史,櫨山寛章,門林雄基,“ワームの拡散遅延を目 的とした検知・遮断機構の提案,”情処学研報,vol.2005, no.33, pp.25–29, March 2005. [34] 小原正芳,堀 良彰,櫻井幸一,“TCP に対するポート スキャンの高速検知手法,”情処学研報,vol.2005, no.33, pp.37–42, March 2005. [35] 太田耕平,グレンマンスフィールド,“インターネットに おける不正アクセス検出技術—NIDS の現状と将来,”信 学論(B),vol.J83-B, no.9, pp.1209–1216, Sept. 2000.
[36] 沢田篤史,高倉弘喜,岡部寿男,“開放型大規模ネット
ワークのための IDS ログ監視支援システム,”情処学論, vol.44, no.8, pp.1861–1871, Aug. 2003.
[37] 藤田直行,“侵入検知ポリシの記述性向上によりログ出力量 の低減を可能とした不正アクセス処理システムの開発,”信 学論(D-I),vol.J88-D-I, no.2, pp.391–400, Feb. 2005. [38] 前田秀介,馬場達也,大谷尚通,角 将高,稲田 勉,“感
染プロセスに着目したワーム検知方式の提案,”情処学研
報,vol.2005, no.33, pp.327–332, March 2005. [39] 片岡真紀,石毛由美子,萬谷暢崇,大橋史治,“囮サーバで
送受信されたパケット系列を統計分析することによるワー ム検知システムの提案,”情処学研報,vol.2005, no.70, pp.1–6, July 2005.
[40] D. Wagner and D. Dean, “Intrusion detection via static analysis,” Proc. 2001 IEEE Symposium on Se-curity and Privacy, pp.156–168, 2001.
[41] L.A. Gordon, M.P. Loeb, W. Lucyshyu, and R. Richardson, “2005 CSI/FBI Computer Crime and Se-curity Survey,” Computer SeSe-curity Institute, 2005. [42] 稲村 雄,江頭 徹,竹下 敦,“マルチタスク OS メモ
リ保護方式の実装と評価—少資源プラットフォーム向け CMS及びデータ改竄検出手法,”情処学研報,vol.2005, no.70, pp.229–234, July 2005.
[43] National Security Agency, “Security-enhanced linux,” http://www.nsa.gov/selinux/index.cfm
[44] 大橋久美子,五味悠一郎,水島 洋,田中 博,“TCP2 を利用した医療セキュアネットワークの構築,”第 24 回医 療情報学連合大会,3-G-2-3, Nov. 2004.
[45] H. Debar, D. Curry, and B. Feinstein, “The intrusion detection message exchange format,” Internet-Draft, draft-ietf-idwg-idmef-xml-14, Jan. 2005.
[46] B. Feinstein, G. Matthews, and J. White, “The intru-sion detection exchange protocol (IDXP),” Internet-Draft, draft-ietf-idwg-beep-idxp-07, Oct. 2002. [47] G. Mansfield, “Intrusion detection message MIB,”
Internet-Draft,draft-glenn-id-notification-mib-04.txt, Nov. 2000. (平成 17 年 11 月 7 日受付) 藤田 直行 平 2 早大・理工・機械卒.平 4 同大大 学院修士課程了.同年航空宇宙技術研究所 入所.平 12 米国 IBM Visiting Scientist. 現在宇宙航空研究開発機構セクションリー ダ.ネットワークセキュリティ,大規模ス トレージに興味をもつ.情報処理学会,機 械学会,AIAA 各会員.
