トラヒックパターンの時系列解析に基づく次世代広域不正アクセス自動追跡システム

トラヒックパターンの時系列解析に基づく次世代広

域不正アクセス自動追跡システム

著者

根元 義章

トラヒツクパターンの時系列解析に基づく

次世代広域不正アクセス自動追跡システム

(課題番号14380172) 平成1 4､ 1 5年度科学研究費補助金(基盤研究(B)(2)一般) 平成16年3月 研究代表者 根元 義幸 (東北大学大学院情報科学研究科教授)

平成1 4､ 1 5年度科学研究費補助金(基盤研究(B)(2)一般)

研究成果報告書

研究課題 トラヒツクパターンの時系列解析に基づく次世代広域不正アクセス自動追跡システム 課題番号 14380172 研究組織 研究代表者:根元義幸 研究分担者:加藤 寧 太田耕平 (東北大学大学院情報科学研究科教授) (東北大学大学院情報科学研究科教授) (サイバー･ソリューションズ(秩) 主任研究員(研究職)) 研究経費 平成14年度   4. 200千円 平成15年度   2, 100千円 計     6, 300千円 研究発表 学会誌等 1.和泉勇治､宇津江康太､加藤 寧､根元義幸 "リンクの轄榛状態を考慮した動的なミラーサーバ選択方式"

情報処理学会論文誌 Vof.45､ No. 1､ pp.65-73.Jan,2004

2. Hiroshi TSUNODA, Kohei OHTA. Nei KATO. and Yoshiaki NEMOTO

"Supporting lP/LEO Sate= ite Netyorks by Handover-Independent lP HobH ity

Management"

lEEE Journal on Se一ected Areas in Corrmunications, to be publ ished

3. Tarik TALEB. Nei Kato, and Yoshiakj Nemoto

nNei ghbors-buffer i ng-based v i deol0n-demand arch itecture" lmage Communication 18(2003)515-52

4.角田裕､太田耕平､加藤寧､根元義幸

"TTL情報を用いたLEO衛星ネットワークにおけるTCPの誤再送回避手法"

5.油川良太､太田耕平､加藤辛､根元義幸

分散型ネットワークモニタリングによる不正アクセス早期検出システム〝

電子情報通信学会論文誌B, Vol. J86-8,日0. 3, pp.410-418, 2003 6. Hiroshi Tsunoda, Kohei Ohta, Nei Kato. Yoshiaki Nemoto

dMobH ity Hanagenent for lP/LEO SateL l ite Netyrorks Using Geographical

LoGation一'

IEJCE Trans. Corrmun. Vol.E86-B. No.2, pp.490-497. 2003

7. Hoon LEE. Yoon UH, Min-Tae HWANG, Jong-Moon EOM, Yong-Gi LEE and Yoshiaki

NEMOTO

.Capacity Design of Guaranteed-OoS VPN" lEICE Trams. On CoTTTnun. Vol.E85-B, No.5, 2002

8.金丸朗､和泉勇治､太田耕平､加藤掌､根元義幸 "マルチステージ型分散トラヒツクモニタリングシステムの提案と評価〟 電子情報通信学会論文誌B, Vol. J85-B, No. 8, pp. 1285-1294. 2002 9.坂口薫､和泉勇治､太田耕平､加藤寧､根元義幸 -2次計画法に基づいたトラヒツクJiターンの比故によるDoSの追跡〝 電子情報通信学会論文誌B. Vot.J85-B, No. 8, pp. 1295-1303. 2002 10. Tarik TALEB. Nei KATO. and Yoshiaki NEMOTO

"A Neighbors-Buffer ing Based Technique to Provide Scalable Distance Learning Service in a NuJticast EnvironrTlentn

汀HET■ 03, pp. 695-698 (2003)

ll. Hiroshi TSUNODA, Kohei OHTA. Nei KATO. Yoshiaki NEMOTO

nlmproving TCP Performance Using Observed Hop Count over LEO Sate= ite

Netyrorks"

2lst AIAA lnternational ConTnunications Sate= ite System Conference.

AIAA-2003-2332, Apr. 2003

研究会報告

12.内山 勇一､和泉 勇治､加藤 寧､根元 義幸

"自己回帰予測を用いたトラヒツク解析によるD o S検知方法の提案"

電子情報通信学会技術研究報告. NS2003-08, pp. 55-60, 2003 13. Tarik Taleb, Nei Kato, Yoshiaki Nemoto

nOn TCP Performance over Multi-Hops Satel I ite ConsteHations"

電子情報通信学会技術研究報告. SAT2002-75. pp. 27-32, 2002

14.角田裕.太田耕平.加藤寧.根元義幸 "LEO衛星JPネットワークにおける位置情報を用いた移動管理〝 電子情報通信学会技術研究報告CS-2002-6. pp. 2ト32. 2002 15.及川達也,和泉勇治,太田耕平,加藤寧,根元義幸 〝統計的クラスタリング手法によるネットワーク異常状態の検出〝 電子情報通信学会技術研究報告, NS2002-143, lN2002-87, pp. 83-88, Oct, 2002 16.早津江康太､和泉勇治､太田耕平､加藤辛､根元義幸 〝RTTを利用したボトルネック検出とサーバ選択への応用〝 2002年電子情報通信学会技術研究会報告NS2002-142, pp77-82. 2002 口頭発表

17. Tarik Taleb, Nei Kato, Yoshiaki Nemoto

"Effects of FIoyr Counts Change on TCP Behavior" 2002年電子什報道借学会ソサエティ大会B-3-9 18.角田裕.太田耕平,加藤辛,根元義幸 nLEO衛星IPネットワークにおける移動管理に関する一考察〝 2002年電子情報通信学会総合大会B-3-27, p. 340. 2002 19.及川達也,和泉勇治,太田耕平,加藤寧,根元義幸 u統計的クラスタリング手法によるネットワーク状態の判別〝 電子情報通信学会2002年総合大会講演論文集, p. 230, 2002. 20.宇津江康太､和泉勇治､太田耕平､加藤寧､根元義幸 "pass ive/active計測による動的なサーバ選択のコスト削減〝 2002年電子情報通信学会総合大会, B-6-34, Mar. 2002 m

目次

1.はじめに‥‥.‥‥‥.‥‥.‥‥日日‥.‥.‥‥.‥‥.‖‥‥.‥‥‥日. 1 2.不正アクセス追跡の問題点と課題       2 3,本研究の成果      3 3.1大規模ネットワークにおけるトラヒツクパターン観測センサシステムの 構築 3.2パケット数予測を用いた攻撃検知アルゴリズムの提案と評価.‥‥.‥. 4 3.3トラヒツクパターンの形状比較による不正アクセス追跡アルゴリズムの 提案と評価       4 4.おわりに      5

トラヒツクパターンの時系列解析に基づく

次世代不正アクセス自動追跡システム

1. はじめに 近年､インターネットの社会的インフラとしての重要度が増すに伴い､ インターネットにおける不正アクセスが大きな社会問題となっている｡不 正アクセスの中には､利用者のセキュリティに対する意識の向上や技術的 な対策によりある程度防御が可能なものもあるが､昨今､インターネット 全域に大きな被害を与えるとこが可能で､防御が困難であるDenial of Service(Dos)攻撃の問題が顕在化している｡ DoS攻撃は不要なパケットを大量にターゲットのネットワークやホスト に流入させ､ネットワークの帯域やホストのリソースを食潰すことでサー ビス不能に陥れるもので､ネットワークテロとも呼ばれている｡米

Computer Security Institute (CS日の調査では､米国内におけるDoS攻

撃による被害額が､年2 50%の伸び率を示しているとの報告もある｡最 近では､ 2004年1月から2月にかけて米国SCO社のWebサイトに対す る攻撃が行われ､甚大な被害をもたらしている｡これらの不正アクセスに よる被害を最小限に抑えるため､攻撃元を突き止める不正アクセス自動追 跡システムの構築が急務であると言える｡ この社会的な要請に応えるべく､本研究では､不正アクセスを追跡する ためのトラヒツクパターンの時系列解析に基づく不正アクセス追跡システ ムを提案し､システム構築を行い､その有用性を示すことを研究目的とし た｡本研究で提案したシステムは､以下の特徴を有し､攻撃元情報の改寛 にも対応可能なもので､不正アクセス追跡システムとし極めて有用なもの である｡ (1)ネットワーク上を涜れるトラヒツクを構成するパケット数の時間変 動をトラヒツクパターンとして抽出する

-1-(2)抽出したトラヒツク/(タ-ンから異常状態を検知するための通常状 態の学習を行う (3)トラヒツクパターンの形状の比較により､トラヒツクフローの関連 性を評価し追跡を行う

2.不正アクセス追跡の問題点と課題

本研究が対象としているDoS攻撃は､攻撃者が発信する攻撃パケットの 送信ホストのIPアドレスを改孟し､攻撃元を隠蔽することが可能で､攻撃 を仕掛けたホストが被害者あるいはネットワーク管理者から見えないこと が最大の特徴である｡インターネットにおいてIPアドレスはホストを識別 する唯一の情報であり､発信元の調査には必ず利用されるが､ DoS攻撃に おいては､ IPアドレスに依存しない攻撃元の追跡方法が必要である｡また､ 当然のこととして､攻撃元を追跡するには不正アクセスに関わるトラヒツ クを識別することが必要である｡しかし､インターネットでは､送信パケ ット数や送信タイミングなどの特性が異なるアプリケーションが数多く運 用され､多くのユーザが利用しており､インターネットを流通するトラヒ ツクは非常に複雑な変動を伴う｡不正アクセスを含むトラヒツクと正常な 通信のみのトラヒツクを正確に分離し､不正アクセスを高精度に検知する には､トラヒツクの複雑な変動を的確に捉え評価する必要がある｡ 上で述べた課題を解決すべく､本研究では､ DoS攻撃の検知･追跡シス テムの構築と検証を行う｡本研究おいて､我々はDoS攻撃の検知･追跡を 行う基本として､ネットワークトラヒツクを構成するパケット数の時間的 な変化であるトラヒツクパターンに着目した｡ DoS攻撃は､ネットワーク に大量のトラヒツクを発生させる攻撃であるため､攻撃が発生すれば必ず 通常時とは異なるトラヒツクパターンが生成される｡その攻撃トラヒツク パターンは改盈不可能な情報であるため､トラヒツクパターンを利用すれ

-2-ば､ IPアドレスの改急にも対応した攻撃の追跡を実現できると考えられる ためである｡また､複雑な変動を伴うインターネットトラヒツクから不正 アクセスを含むトラヒツクパターンを高精度に検知する手法として､正常 通信のみからなるトラヒツクパターンを学習し､この結果を検知に利用で きるモデルが必要であると考え､そのシステムについて研究を進めた0 以下に本研究で得られた成果を述べる｡

3.本研究の成果

当初の研究計画･方法に従って､平成1 4年度および平成1 5年度の研 究によって以下の研究成果が得られた｡ 3. 1 大規模ネットワークにおけるトラヒツクパターン観測

センサシステムの構築

マイクロPCを用い､ネットワークの分岐･合流点に設置可能なトラヒ ックパターン観測センサシステムを構築した｡センサシステムは､様々な パケットフィルタとして利用可能なSnortと､標準プロトコルで管理情報

の送受信を行えるSimple Network Management ProtoGOl (SNMP)のエージェ

ントソフトNEトSNMPを利用した｡標準プロトコルのSNMPに従ってトラヒ

ツクパターンを取得するために､トラヒツクパターン情報を保持する専用

のManagement lnformation Base(MIB)を定義し､様々なパケットのトラヒ

ックパターンを標準プロトコルのみで取得可能なシステムを実現した｡構 築したセンサシステムを大規模ネットワークに設置し､トラヒツクパター ンの観測を行い､所望の情報が獲得できることを明らかにした｡ さらに､ネットワークに擬似的な攻撃トラヒツクを発生させ､攻撃の存 在しない通常時と攻撃時のトラヒツクパターンの変化について検証を行っ た｡具体的な検証事項として､複数の分岐･合流点を通過した際の､トラ ヒツクパターンの形状の変化や通常時のトラヒツクに攻撃トラヒツクが埋 -31

もれてしまう場合の観測結果について重点的に検証を行い､攻撃トラヒツ クの高精度な検知･追跡に関する多くの知見を得た｡

3. 2 パケット数予測を用いた攻撃検知アルゴリズムの

提案と評価

トラヒツクパターン観測センサシステムにより得られたトラヒツクパタ ーンに対し､高精度に攻撃を検知するアルゴリズムを提案した｡提案アル ゴリズムは､ネットワークを流れるパケット数の時間的な変化を自己回帰 モデルにより学習し､予測を行うことによって､動的な検知基準の設定が 可能である特徴を有している｡また､トラヒツクの実測値と自己回帰モデ ルによる予測値との誤差は避けられないため､実測値と予測値の誤差の発 生確率の分布を積極的に利用し､統計学の理論的な背景に基づく攻撃検知 の開催設定方法を確立し､高精度な攻撃の検知を実現した｡ 本アルゴリズムを観測センサシステムにより得られたトラヒツクパター ンに適用し､検知性能の評価実験を行った｡検知性能の比較対象として､ パケット数に対する固定的な開催による検知手法､過去の観測データから パケット数の平均と標準偏差を求め､それらを利用した開催による検知手 法の二つの手法を用いた｡これら二つの手法と比較して､提案手法は､高 い検知精度を有することを確認することが出来た｡特に､攻撃ではないト ラヒツクを誤って検知してしまう誤検知の比率が比較手法と比べ低く抑え ることが可能であることが判明した｡ 3. 3 トラヒツクパターンの形状比較による不正アクセス

追跡アルゴリズムの提案と評価

攻撃検知アルゴリズムによって検知した攻撃トラヒツクの形状の比較を 行うことで､ネットワークの分岐･合流点において攻撃トラヒツクの流入 リンクを特定し､攻撃の追跡を実現するアルゴリズムを提案した｡本アル ゴリズムは､合流点における複数の入力リンクから流入するトラヒツクと

-4-出力リンクで観測された追跡対象の攻撃トラヒツクの形状比較を､ 2次計 画問題として定式化することにより実現するものである｡追跡のための出 力トラヒツクパターンの比較対象は､複数の入力トラヒツクの全てを組み 合わせたトラヒツクパターンとなるが､ 2次計画問題により､その組み合 わせ問題を解決することを実現した｡ 本アルゴリズムを3. 1で述べた観測センサシステムにより得られたト ラヒツクパターンに適用し､追跡性能の検証実験を行ったところ､入力パ ターンと出力パターンの形状を個々に比較する手法よりも､高い追跡性能 を有していることが明らかとなった｡ 4.おわりに DoS攻撃は､インターネット全域に大きな被害を与え､攻撃元情報の 改息が可能であるため､防御や追跡が困難であった｡本研究では､改鼠不 可能のトラヒツクパターンを利用した攻撃の検知と追跡を可能とするシス テムの構築に関わる研究を行い､不正アクセスの情報の効率の良い収集方 式､追跡アルゴリズム､検知アルゴリズムを提案し､実験により､それら が優れた特性を持つことを立証した｡また､統合システムを実験ネットワ ークに構築し総合評価を行い､その有用性を明らかにした｡ 本システムは､標準のプロトコルを利用し､実装が容易なため､利用価 値が極めて高いものであると考えられる｡ よって､本研究の目的は達成出来たと言える｡

-5-TOUR ： Tohoku University Repository コメント・シート 本報告書収録の学術雑誌等発表論文は本ファイルに登録しておりません。なお、このうち東北大学 在籍の研究者の論文で、かつ、出版社等から著作権の許諾が得られた論文は、個別にTOUR に登録 しております。 TOUR http://ir.library.tohoku.ac.jp/