Embed Size (px)
DESCRIPTION
インターネットの測定技術に 基づくセキュリティ診断. 後藤 滋樹 グローバル COE プログラム アンビエント SoC 教育研究の国際拠点 ( 早稲田大学 理工学術院). 概要. - PowerPoint PPT Presentation
Citation preview
インターネットの測定技術に基づくセキュリティ診断
後藤 滋樹グローバル COE プログラム
アンビエント SoC 教育研究の国際拠点
(早稲田大学 理工学術院)
2
概要インターネットのトラフィックが増大するにつれて、生のデータを直接に測定することが難しくなった。これを解決するためにサンプリングを行なったり、特徴 を簡単に表現する方法が提案されている。ここでは我々の提案を紹介する。ネッ トワークの測定を行なうと、教科書に載っているような整ったデータだけではなく、奇妙なパケットやフローが現れる。これは多くの場合には不正なアクセスや ウィルス、ボット、 spam メールなどに起因する。講演の後半では、セキュリティ に関する検知を能率良く行なう方法について説明する。
本資料の構成
背景
1. 測定1.1 サンプリングによる測定
1.2 End-to-end の測定方法
2. セキュリティ
2.1 異常トラフィックの抽出
2.2 OSのフィンガープリント
3
(背景)広帯域ネットワークの利用増
→ 測定が難しくなる• 対象とするデータ量が膨大になる
例:早稲田大学の SINET 対外接続は 10Gbps もし使用量1 . 6 Gbps =0 . 2GB /sec としても 1時間のデータ(60秒 × 60分) 720GB
• 個々のパケットではなくフローとして把握( 2.1 )• サンプリング( 1.1 ) , フィルタリング( 2.1 )• できるだけ即時に処理( 2.2 )• 多地点のデータを分散管理( 1.2 )
4
1.1 サンプリングによる測定• 電気通信普及財団 テレコムシステム技術賞
2010年3月15日 授賞式• T. Mori, T. Takine, J. Pan, R. Kawahara.
M. Uchida, and S. Goto, Identifying Heavy-Hitter Flows From Sampled Flow Statistics,IEICE Transactions on Communications, Vol. E90-B, No.11, pp. 3061--3072, Nov. 2007.
• 電子情報通信学会 論文賞2009年5月29日 授賞式
5
電気通信普及財団賞
ネットワーク内を流れるトラフィックをチェックして、長時間大量のパケットを流すフローを識別することは重要な問題である。この研究は、すべてのパケットではなく、サンプリングにより高精度且つスケーラブルにそのようなフローを特定する理論的手法を確立し、実トラフィックデータを用いて実証したもので、実社会で求められている優れた仕事である。
6
7
1.1 サンプリングによる エレファントフローの特定
• エレファントフロー とは「巨大なフロー 」– P2P によって発生したフロー – 今日では巨大フローは一般ユーザーが発生する
• CATV,DSL, FTTH 加入者
– 帯域の消費が著しい– ネットワークによらない普遍的な現象 (2:8 の法則 )
• エレファントフローを検出・制御すると– 制御対象とするフロー数が少なくて済む– 制御する効果が大きい
8
分析の対象とするデータ • OC48c パケットトレース (PMA project, NLANR)• N=10,000,000 (約2分の片道トラフィック )• 総フロー数 : 737,800• エレファントフロー数 (Xj >= 10,000) : 167• エレファントフローのトラフィック量占有率 :
59.3%
Pr[Xj = x]
9
パケットサンプリングとフロー計測
• パケットサンプリング– N パケットに 1パケットをサンプルする
– フロー計測のコストを削減することが目的• メモリ消費量、アクセススピード
– 超高速ネットワークに対するスケーラビリティを提供
– 標準化、実装が進んでいる技術
– サンプリングにより、フロー統計情報の一部は失われる
10
課題とアプローチ :
•課題– サンプルしたパケットからエレファント
フローを特定する エレファントフローを特定するためには
パケットカウントの閾値をどのように定めれば良いか?
• 本研究のアプローチベイズの定理を用いる
11
ベイズの定理 : • フロー j
– 元のパケット数 : Xj– サンプルパケット数 : Yj– エレファントフロー Xj >= Xe
Pr[ Yj = Y’ | Xj = Xe] : 超幾何分布 ベイズの定理により、次式を計算可能Pr[ Xj = Xe | Yj = y’]
※ ただし、事前分布 Pr[Xj = x] が必要
12
ベイズの定理
フロー j: 母集団におけるパケット数が Xj=x である条件のもとでサンプルしたパケット数が Yj=y である確率
( 超幾何分布 )
フロー j: サンプルしたパケット数が Yj≧y である条件のもとで母集団におけるパケット数が Xj≧x である確率( i.e., フローjがエレファントフローである確率)
(A)
(B)
13
False probabilities:
• False positive ratio:
= Pr [ 特定したフローがエレファントでない ]
=
• False negative ratio: = Pr [ エレファントフローが特定されない ]=
=
フロー jについてサンプルしたパケット数が を満たしたらエレファントフローであると特定する
誤って検出
見逃し
14
False 率のトレードオフ
f=1/1,000 f=1/10,000
サンプリングレートが低いほど、トレードオフが顕著
15
応用例 : False positive を小さくする (≦ 0.05)
False positive 小 特定したフローは高確率でエレファントただし、未検出のエレファントフローが増える
f=1/1,000 f=1/10,000
16
精度の評価例 : (false positive < 0.05)理論
エレファントフローを特定するための閾値
実験 ( 実際のパケットサンプリング )
特定したフロー数特定フローのうち、実際にエレファントフローである数
元のエレファントフロー数 = 167
同様の値をとる
トラフィック占有率 > 20 %
サンプリングレート
17
事前分布と閾値• 閾値 の算出には,事前分布の情報が必要• 事前分布の情報をどのように得るか?
1. 同一ネットワークの近い時間帯でのデータを使う- 予め,測定しておく
2. サンプルしたフローの分布から、元の分布を推定- Yj の分布から Xj の分布を推定 [Duffield,SIGCOMM’03]
3. 分布の普遍的な性質を利用する– 多くの場合, Xj の分布は形状母数≒ 1.0 のパレート分布
で近似可能
– 算出された閾値は、広い範囲の分布に対して同じ値
18
様々な事前分布:
• 経験分布 ( 計測データ )– OC48c link [PMA, NLANR]– GbE link [PMA, NLANR]
• 理論分布 ( パレート分布 )
x
Pr[Xj > x]
beta=0.5
beta=0.75
beta=1.0
beta=1.25
beta=1.5
19
f=1/10,000
f=1/1,000
評価結果 : false 率
false-positive false-negative false-positive false-negative
経験分布 パレート分布
20
評価結果 : 閾値min s.t. FPR< 0.05
経験分布
パレート分布
21
エレファントフロー特定の応用例• PD (Priority discarding), WFQ (Waited Fair
Queueing) 等のキュースケジューリングアルゴリズムと併用– ネットワーク輻輳時に、帯域を支配しているエレファントフロ
ーに属するパケットを優先的に廃棄/低優先キューに割り当て
• CSFQ (Core Stateless Fair Queueing)等のスケーラブルなネットワーク制御アーキテクチャに適合– エッジノードはエレファントフローマーキング。コアノードはマークを元に diffserv 的な制御を実施。
• 極端なエレファントフローの発生を検出したら、迅速にオペレータに通知する (anomaly detection)
22
• サンプルしたパケットからエレファントフローを特定する方法を提案し、実データにより評価した
• アイディアの要点: フロー毎にサンプルされるパケットカウントと、そのフローがエレファントフローである確率の関係を事前に算出 – ベイズの定理を利用。事前分布の情報が必要。
• 実データおよび理論分布を用い、提案手法の有効性を示した– 本手法で計算した閾値 は、他のネットワークに
対しても有効 ( 非一様性の普遍性より )
1.1 のまとめ
1.2 End-to-end の測定方法1. Introduction
– Background and Motivation– Applications
2. Overview of i-Path– Data Collection– New Software
3. More Applications
4. Conclusion
23
The Goal of i-Path project Accessible Information between the hosts Observing the information disclosure policy of
all stakeholders along the path
24
Background
• Because of …– Observe the information disclosure policy– Status of network depends on variety of factors
Growing demand for backbone bandwidthGrowing demand for backbone bandwidth
Routers keep rich information•Routing table, Link utilization•Temperature, Location, Contact point, Supply voltage etc.
Routers keep rich information•Routing table, Link utilization•Temperature, Location, Contact point, Supply voltage etc.
Network performance fluctuation (e.g. throughput)Network performance fluctuation (e.g. throughput)
Not easy to collect right information and to utilize information along the path
Not easy to collect right information and to utilize information along the path
25
Introduction
• Providing transparency of underlying networks
• End-to-End visibility provides benefit to end hosts and network operators
• Disclosing information leads to improved End-to-End visibility
Motivation
– Monitoring network status– Reporting events and troubleshooting– Reduction in operational cost
26
Introduction
Enhanced Congestion ControlEnhanced Congestion Control
Applications
Best peer selection in P2P communication applications
Best peer selection in P2P communication applications
Dynamic network configuration(e.g. according to Time zones)Dynamic network configuration(e.g. according to Time zones)
Adjust optimal bit rate in VoDAdjust optimal bit rate in VoD
Selection of the appropriate path(e.g. Not violating policies related to content
management)
Selection of the appropriate path(e.g. Not violating policies related to content
management)27
Introduction
Data Collection• Explicit Network Information Collection Along a Path• SIRENS *(Simple Internet Resource Notification Scheme)
– Based on the cross layer approach Bottleneck bandwidth Interface queue capacity Corruption losses etc.
– Scalable network information measurement
* K. Nakauchi and K. Kobayashi. An explicit router feedback framework for high bandwidth-delay product networks. Computer Networks, 51(7):1833–1846, 2007.
28
Overview
Structure of shim-headerInserted between the network and transport headersInserted between the network and transport headers
29
Overview
Information Disclosure• Prohibit to access some Information on routers • Unwilling to disclose inside network status
– Security – Cost
• Each ISP has a disclosure policy• End hosts have their disclosure policy
30
Negotiation: requests and responses
OK to Disclose? OK to Disclose?
OK to Disclose?
Overview
Observing Information Disclosure Policies
Policy:Alice & Bob allow to disclose beyond 3rd hop router.
Implementation:• Alice does not send req. for her
neighbor & the next neighbor routers, i.e.,1st & 2nd hops.
• Bob does not send back res. same as Alice, i.e., 6th & 7th hops.
Results:
• Alice obtains 3-5 hops data.
• Bob obtains 3-7 hops data
Selective requests and responses
31
New Software Tools
xml
Sender Receiver
TCP Data
(a)Send a SIRENS request packet
(b)Receive the request packet and reply
(c)Receive the reply packet and make xml files
Developed
software
TCP Data
TCP Data
TCP Data
TCP Data
TCP Data
i-Path Router
32
Snapshot of the Visualization Tool
• Dark colored (Blue) routers – Data Collection: Enabled
• Gray colored routers– Data Collection: Not enabled or Not Exist
33
Network Threat Detection
Attackers
TARGETIP address : X.X.X.X
DDoS Packetsdestination: TARGETSource IP Address: Spoofed IP Address
Back Scatter Packetsdestination: Spoofed IP AddressSource: TARGET
Internet
extraneous hosts/servers
More applications
S.Nogami, A.Shimoda and S.Goto, Detection of DDoS attacks by i-Path flow analysis, (in Japanese, to appear) 72nd National Convention of IPSJ, Mar. 2010.
34
NAT traversal
35
More applications
Different kind of NATs:full cone, restricted cone, port restricted cone, symmetric
symmetric NAT
K.Tobe, A.Shimoda and S.Goto, NAT traversal with transparent routers,(in Japanese, to appear) 72nd National Convention of IPSJ, Mar. 2010
Current Status and Future Plans• i-Path project wiki
http://i-path.goto.info.waseda.ac.jp/trac/i-Path/• Dai Mochinaga, Katsushi Kobayashi, Shigeki
Goto, Akihiro Shimoda, and Ichiro Murase, Collecting Information to Visualize Network Status, 28th APAN Network Research Workshop, pp.1—4, 2009.
• Network application utilizing collected information• Demonstration on R&D testbed: JGN in Japan• Demonstration at SC09, Portland, OR, Nov. 2009
36
1.2 Conclusion
• We proposed new method disclosing network information
• i-Path – Offering end-to-end visibility, transparency– Observing privacy protection– Respecting disclosure policy
37
38
2.1 異常トラフィックの抽出
• Analyze packet by packet
• Limitation of simple packet analysis– Malicious activities—in normal packets
• DoS (Denial of Service) attack• Port Scan
39
Flow Analysis and Protocol Machine• Flow — a sequence of packets
• Source and destination IP address (or AS#)• Port numbers (application)
• Valid flow and Invalid flow– A flow is classified by the protocol machine.
40
Flow Analysis and Protocol Machine• The original protocol machine for TCP
– Defined in RFC 793 – Deterministic automaton
• Our new extended protocol machine– Non-deterministic automaton– It covers packet losses and duplicated packets.
CLOSED
LISTEN
ESTABLISHED
CLOSING
TIME_WAIT
SYN_RCVD SYN_SENT
FIN_WAIT_1 CLOSE_WAIT
FIN_WAIT_2 LAST_ACK
CLOSED_2
passive OPEN/create TCB
CLOSE/delete TCB
CLOSE/delete TCB
active OPEN/snd SYN
rcv SYN/snd SYN ACK
SEND/snd SYN
rcv SYN/snd ACK of SYN
rcv SYN/snd ACK of SYN
rcv ACK of SYN/xCLOSE/
snd FIN
CLOSE/snd FIN
rcv FIN/snd ACK of SYN
rcv ACK of FIN/x
rcv FIN/snd ACK of FIN
rcv FIN/snd ACK of FIN
rcv ACK of FIN/x
CLOSE/snd FIN
rcv ACK of FIN/x
2MSLtimer
CLOSED
LISTEN
SYN_RCVD_0_1
SYN_RCVD SYN_RCVD_0_2 SYN_SENT
ESTABLISHED_0
ESTABLISHED
FIN_WAIT_1
CLOSE_WAIT_0
CLOSE_WAIT
CLOSED_2
FIN_WAIT_2
CLOSING
TIME_WAIT
TIME_WAIT_0
CLOSING_0
RESETTING
LAST_ACK
εH1_snd_SYN
ε
ε
H2_snd_SYN
H1_snd_SYN_ACK
H1_snd_SYN
H2_snd_SYNH1_snd_ACK_of_SYN
H2_snd_SYN_ACK
H1_snd_ACK_of_SYN
H2_snd_ACK_of_SYN
H1_snd_FIN
H1_snd_FIN H2_snd_FIN
H2_snd_FIN
H2_snd_ACK_of_FIN H1_snd_ACK_of_FIN
H1_snd_FIN
H2_snd_ACK_of_FINH1_snd_RST
H1_snd_ACK_of_FIN
H2_snd_ACK_of_FINH2_snd_FIN
H1_snd_ACK_of_FIN
ε
41
2.1 異常トラフィックの抽出An Improved Protocol Machine for
Flow Analysis and Network Monitoring
Heshmatollah Khosravi, Masaki Fukushima and Shigeki GOTO ,
“An Improved TCP Protocol Machine for Flow Analysis and Network Monitoring”,
IEICE Transaction, Vol.E86-B No.2 pp.595-603, February, 2004.
42
Protocol machine — Finite states• Formally defined specification
e.g. RFC793.
Finite state automaton (automata)
– Well established method in mathematics
– Packets are treated as input symbols.
– An automaton accepts a sequence of
packets, if it matches the specification of
the protocol, i.e. TCP.
43
The original machine in RFC793
• RFC793 state
diagram:
transition with
– Two packets
– One packet
– Zero packet
• Automaton &
TCP specification
– One packet
CLOSED
LISTEN
ESTABLISHED
CLOSING
TIME_WAIT
SYN_RCVD SYN_SENT
FIN_WAIT_1 CLOSE_WAIT
FIN_WAIT_2 LAST_ACK
CLOSED_2
passive OPEN/create TCB
CLOSE/delete TCB
CLOSE/delete TCB
active OPEN/snd SYN
rcv SYN/snd SYN ACK
SEND/snd SYN
rcv SYN/snd ACK of SYN
rcv SYN/snd ACK of SYN
rcv ACK of SYN/xCLOSE/
snd FIN
CLOSE/snd FIN
rcv FIN/snd ACK of SYN
rcv ACK of FIN/x
rcv FIN/snd ACK of FIN
rcv FIN/snd ACK of FIN
rcv ACK of FIN/x
CLOSE/snd FIN
rcv ACK of FIN/x
2MSLtimer
44
The extended machine
• Two machines are used for a client and a server.
• One packet at a time– New states are inserted.
• Invisible transitions (ε)– Internal operations in the machine
– No packets are associated.
45
Two Machines• RFC793 Model:
state diagram of an end node
– A client or
– A server
• In our Analysis:
Two machines are needed
– A client & A server
H1
H2
46
One Packet at a-time
• one packet is sent, and the response is sent back– A transition with two input symbols
Recv/SendRecv SYN
Send SYN ACK
Adding a new state
a new state
47
Invisible transitions
• Internal operation of the machine– Passive Open: just is in LISTEN state– no packets are associated
PassiveOpen
Indicating ε-move
ε
ε means empty.
48
Invisible transitions (2)
• Internal operation of the machine– CLOSE : Close( ) system call on a socket– no packets are associated
CLOSEIndicating ε-move
ε
ε means empty.
49
The extended machine
• One transition is
associated with either:
– Only one packet
– Empty ( ε-move )
• A client and a server
– Direct product of
the two machines
CLOSED
LISTEN
SYN_RCVD_0_1
SYN_RCVD SYN_RCVD_0_2 SYN_SENT
ESTABLISHED_0
ESTABLISHED
FIN_WAIT_1
CLOSE_WAIT_0
CLOSE_WAIT
CLOSED_2
FIN_WAIT_2
CLOSING
TIME_WAIT
TIME_WAIT_0
CLOSING_0
RESETTING
LAST_ACK
εH1_snd_SYN
ε
ε
H2_snd_SYN
H1_snd_SYN_ACK
H1_snd_SYN
H2_snd_SYNH1_snd_ACK_of_SYN
H2_snd_SYN_ACK
H1_snd_ACK_of_SYN
H2_snd_ACK_of_SYN
H1_snd_FIN
H1_snd_FIN H2_snd_FIN
H2_snd_FIN
H2_snd_ACK_of_FIN H1_snd_ACK_of_FIN
H1_snd_FIN
H2_snd_ACK_of_FINH1_snd_RST
H1_snd_ACK_of_FIN
H2_snd_ACK_of_FINH2_snd_FIN
H1_snd_ACK_of_FIN
ε
50
Classification of flows (1)• Valid Flow :
– Sequence of packets that can be mapped
to the set of input symbols ∑ of protocol machine. It starts with SYN, and end normal with ACK_of_FIN or RST.
• Invalid Flow :– Sequence of packets that can not be
mapped to the set of input symbols ∑ of protocol machine. It starts with SYN, but dose not continue to end due to packets getting lost, dropped, truncated etc.
51
Classification of flows (2)
• Accepted Flow :– Sequence of packets that can be mapped to the
set of input symbols ∑ of protocol machine, and also are accepted by the machine.
– Accepted Flows ⊆ Valid Flows
• Not-Accepted Flow :– Sequence of packets that can not be mapped to
the set of input symbols ∑ of protocol machine, and also are not accepted by the machine.
– Invalid Flows ⊆ not-Accepted Flows
52
Measurement and Evaluation (1)• Real TCP Packets were captured at:
– The Waseda Unv. Entrance link (100Mbs†)
ALR
ALRBusiness Station
1 O
SD
CONSOLE AUX
Input: 100-240VACFreq: 50.60 HzCurrent: 1.2-0.6AWatts: 40W
Cisco2522
PWR
10BT BRI 0
LINK
ACTSERIAL 3 (A/S)SERIAL 2 (A/S)
CISCO Systems
AUIETHERNET 0
SERIAL 6 (A/S) SERIAL 7 (A/S) SERIAL 8 (A/S) SERIAL 9 (A/S)
SERIAL 1SERIAL 0
SERIAL 4 (A/S) SERIAL 5 (A/S)
The Internet
Waseda Unv.Entrance
PacketCapturing PC
100Mbs
† 当時の通信速度
53
Measurement and Evaluation (2)• Captured packets:
–By tcpdump
–Input to Protocol Machine
• Result :
–Total flows: 171,162
–Valid flows: 155,489
–Invalid flows: 15,673 (9%)
–Accepted flows: 118,882
54
Flow Analysis (1)
Source IP & Port Destination IP & Port
133.9.4.206:2419 205.138.3.82:80Port No.From > to
ControlFlag
Sequence Number & Flag description
2419>80 ...S. 545282610:545282611(1) 0 H1_snd_SYN80>2419 .A..S. 0:1(1) 545282611 H2_snd_SYN_ACK2419>80 .A.... 545282611:545282611(0) 1
H1_snd_ACK_of_SYN2419>80 .AP... 545282611:545283069(458) 1 H1_snd_ACK80>2419 .AP..F 1:530(529) 545283069 H2_snd_FIN2419>80 .A.... 545283069:545283069(0) 530 H1_snd_ACK_of_FIN2419>80 .A…F 545283069:545283070(1) 530 H1_snd_FIN80>2419 .A.... 530:530(0) 545283070
H2_snd_ACK_of_FIN
Valid and Accepted flow with FIN Flag
55
Flow Analysis (2)
Source IP & Port Destination IP & Port
133.9.4.205:2650 202.239.178.240:80Port No.From > to
ControlFlag
Sequence Number & Flag description
2650>80 ....S. 4010838473:4010838474(1) 0
H1_snd_SYN80>2650 .A..S. 2986790084:2986790085(1) 4010838474
H2_snd_SYN_ACK2650>80 ...R.. 4010838474:4010838474(0) 0
H1_snd_RST
Valid and Accepted flow with RST Flag
56
Flow Analysis (3)
Source IP & Port Destination IP & Port
133.9.81.26:3636 207.200.89.227:80Port No.From > to
ControlFlag
Sequence Number & Flag description
3636>80 ....S. 2219807304:2219807305(1) 0 H1_snd_SYN80>3636 .A..S. 3992619421:3992619422(1) 2219807305 H2_snd_SYN_ACK3636>80 .A.... 2219807305:2219807305(0) 3992619422 H1_snd_ACK_of_SYN3636>80 .AP... 2219807305:2219807736(431) 3992619422 H1_snd_ACK80>3636 .A.... 3992619422:3992619422(0) 2219807736 H2_snd_ACK80>3636 .A...F 3992619542:3992619543(1) 2219807736 H2_snd_FIN **80>3636 .AP... 3992619422:3992619542(120) 2219807736 H2_snd_ACK **3636>80 .A.... 2219807736:2219807736(0) 3992619422 H1_snd_ACK_of_SYN3636>80 .A.... 2219807736:2219807736(0) 3992619543 H1_snd_ACK_of_FIN3636>80 .A...F 2219807736:2219807737(1) 3992619543 H1_snd_FIN80>3636 .A.... 3992619543:3992619543(0) 2219807737 H2_snd_ACK_of_FIN
Valid but Not-Accepted flow
57
Flow Analysis (4)
Source IP & Port Destination IP & Port
133.9.184.28:42959 211.16.112.162:80Port No.From > to
ControlFlag
Sequence Number & Flag description
42959>80 ....S. 116761212:116761213(1) 0 H1_snd_SYN80>42959 .A..S. 1313868213:1313868214(1) 116761213
H2_snd_SYN_ACK42959>80 .A.... 116761213:116761213(0) 1313868214
H1_snd_ACK_of_SYN42959>80 .AP... 116761213:116761827(614) 1313868214 H1_snd_ACK80>42959 .A.... 1313868214:1313868214(0) 116761827 H2_snd_ACK
Connection did not continue to the End !
Invalid and Not-Accepted flow
58
Intrusion Detection (Host Scan)Source IP & Port Destination IP & Port
Time Port No. From > to
Control Flag
Sequence Number & Flag description
133.9.186.134:1195 > 68.15.87.75:8012:24:05.861884 1195>80 ....S. 1453198176:1453198177(1) 0
H1_snd_SYN 133.9.186.134:1218 > 216.20.43.220:8012:24:10.376513 1218>80 ....S. 1455468312:1455468313(1) 0
H1_snd_SYN 133.9.186.134:1219 > 34.164.140.234:8012:24:04.758418 1219>80 ....S. 1455631285:1455631286(1) 0
H1_snd_SYN12:24:10.777759 1219>80 ....S. 1455631285:1455631286(1) 0
H1_snd_SYN 133.9.186.134:1238 > 44.26.145.182:8012:24:07.668272 1238>80 ....S. 1457095247:1457095248(1) 0
H1_snd_SYN12:24:13.687155 1238>80 ....S. 1457095247:1457095248(1) 0
H1_snd_SYN 133.9.186.134:1239 > 43.83.175.170:8012:24:04.959942 1239>80 ....S. 1457232651:1457232652(1) 0
H1_snd_SYN12:24:07.968711 1239>80 ....S. 1457232651:1457232652(1) 0
H1_snd_SYN12:24:13.988093 1239>80 ....S. 1457232651:1457232652(1) 0
H1_snd_SYN 133.9.186.134:1519 > 123.120.112.157:8012:24:58.732804 1519>80 ....S. 1481888379:1481888380(1) 0
H1_snd_SYN 12:25:01.742352 1519>80 ....S. 1481888379:1481888380(1) 0
H1_snd_SYN 12:25:07.761570 1519>80 ....S. 1481888379:1481888380(1) 0
H1_snd_SYN
59
Intrusion Detection (SYN Flooding)Source IP & Port Destination IP & Port
Time Port No. From > to
Control Flag
Sequence Number & Flag description
133.9.6.11:10000 > 210.59.230.36:820:31:07.235354 10000>80 ....S. 2977713084:2977713085(1) 0 H1_snd_SYN20:31:13.136070 10000>80 ....S. 2977713084:2977713085(1) 0 H1_snd_SYN20:31:19.139384 10000>80 ....S. 2977713084:2977713085(1) 0 H1_snd_SYN20:31:31.144618 10000>80 ....S. 2977713084:2977713085(1) 0 H1_snd_SYN20:31:55.155404 10000>80 ....S. 2977713084:2977713085(1) 0 H1_snd_SYN 133.9.6.11:11000 > 210.59.230.36:8020:39:23.328052 11000>80 ....S. 3167296764:3167296765(1) 0 H1_snd_SYN20:39:28.929763 11000>80 ....S. 3167296764:3167296765(1) 0 H1_snd_SYN20:39:34.931938 11000>80 ....S. 3167296764:3167296765(1) 0 H1_snd_SYN20:39:46.937454 11000>80 ....S. 3167296764:3167296765(1) 0 H1_snd_SYN20:40:10.948974 11000>80 ....S. 3167296764:3167296765(1) 0 H1_snd_SYN 133.9.6.11:11077 > 210.59.230.36:8020:40:18.353750 11077>80 ....S. 3185166899:3185166900(1) 0 H1_snd_SYN20:40:23.954192 11077>80 ....S. 3185166899:3185166900(1) 0 H1_snd_SYN20:40:29.957267 11077>80 ....S. 3185166899:3185166900(1) 0 H1_snd_SYN20:40:41.962696 11077>80 ....S. 3185166899:3185166900(1) 0 H1_snd_SYN20:41:05.973358 11077>80 ....S. 3185166899:3185166900(1) 0 H1_snd_SYN
60
Intrusion Detection (DNS Attack – Port 53)
Source IP & Port Destination IP & PortTime Port No.
From > toControl Flag
Sequence Number & Flag description
195.232.50.17:53 > 133.9.1.2:5320:02:10.214662 53>53 ....S. 83676657:83676658(1) 1257861604
H1_snd_SYN
195.232.50.17:53 > 133.9.1.223:5320:02:12.025809 53>53 ....S. 1391296960:1391296961(1) 1568819523
H1_snd_SYN
195.232.50.17:53 > 133.9.16.100:5320:02:36.751313 53>53 . ...S. 884733909:884733910(1) 885168932
H1_snd_SYN
195.232.50.17:53 > 133.9.129.34:5320:05:48.574003 53>53 ....S. 33640593:33640594(1) 1867004457
H1_snd_SYN
195.232.50.17:53 > 133.9.160.203:5320:06:42.062425 53>53 ....S. 787223951:787223952(1) 351462936
H1_snd_SYN
195.232.50.17:53 > 133.9.189.224:5320:07:30.373708 53>53 ....S. 824496919:824496920(1) 1114978554
H1_snd_SYN
*And continued up to the following flow:
195.232.50.17:53 > 133.9.107.255:5320:05:12.253487 53>53 ....S. 1335095281:1335095282(1) 741695530
H1_snd_SYN
61
Intrusion Detection (SYN Attack)
CompaqDeskPro
l
Compaq
CompaqDeskPro
l
Compaq
CompaqDeskPro
l
Compaq
A B
Attacker
SYN attack causesB to be unable to
reply to A
Attacker can nowact as B andestablish a
connection with A
62
Link Congestion (Measurement diagram)
GigabitSwitch
GigabitSwitch
NCC
NIRS
OC-12 (622 Mbps)
ALR
ALRBusiness Station
1 O
PacketCapturing PC
NCC : 国立がんセンター東病院 National Cancer CenterNIRS : 放射線医学総合研究所 National Institute of Radiological Sciences
63
Link Congestion (Bandwidth = 622Mbps)
Cross traffic jam : 200Mbps, 400Mbps, and 600Mbps
0
20
40
60
80
100
120
0 200 400 600 800
Cross Traffic - Mbps
Valid
/ F
low
%
FTPRCP
64
COMPARISON
Method Standard IDS
TCP Protocol Machine
Intrusion Detection
Supported Supported
Network Congestion
Not Supported
Supported
Flow Analysis
Not Supported
Supported
65
Conclusion in 2.1
• Extended machine is built based
on RFC793 (TCP protocol).
• The extended machine can be
used for Multiple purposes.
– Flow analysis
– Intrusion detection
– Link congestion monitoring
2.1 OS のフィンガープリントによる
悪意のある通信の分析
66
• ボットの脅威の拡大、検出の難しさ• カーネルマルウェアの増加
–最も権限の高いレベル( Ring0 )で動作し、メモリ、 CPU 命令、すべてのハードウェアデバイスへのフルアクセスが可能なマルウェア
– すべてがカーネルモードドライバで実装され,コードのすべてが Ring0 で実行されるものをフルカーネルマルウェア (FKM) と呼ぶ
– FKM は既存OS の TCP/IP 実装とは異なる独自のネットワークドライバを実装※Ring0 : CPU の動作モードの中で最も高いレベル
。一般に OS のカーネルは Ring0 で動作する。
研究の目的
67
• TCPヘッダを分析することにより、 FKM(フルカーネルマルウェア)の可能性がある感染ホストを検出する手法を提案 する
• 今回は、 CCC DATAsetから FKM の可能性があるシグネチャを抽出し、その有効性を CCC DATAset およびその他の実計測データで示す(*) CCC サイバークリーンセンター
木佐森幸太 , 下田晃弘 , 森達哉 , 後藤滋樹 , TCP フィンガープリントによる悪意のある通信の分析 , コンピュータセキュリティシンポジウム 2009, pp.553--558, October, 2009.
分析手法
68
• FKM は既存OS とは異なる独自のネットワークドライバを実装しているため、 TCP/IP ヘッダを分析することで識別できるケースがある
• cf. The Rise and Fall of Reactor Mailer http://projects.csail.mit.edu/spamconf/SC2009/Henry_Stern/
• CCC DATAset の攻撃通信データを分析することで、既存OS と異なる実装による( FKM の可能性がある)通信を抽出、分析する
• 分析の手段として Passive TCP fingerprintingを用いる
Passive TCP fingerprinting
69
• TCP/IP の仕様は RFC で定義されているが, OS 毎にその実装は異なる
• fingerprinting とは、通信の特徴から対象システムの OS を推定する技術– active :対象システムに対して通信を行い、得ら
れたデータから OS を推定する( nmap が有名)– passive :対象システムに対して通信を行わず、取得済みの通信データを分析して OS を推定する
• 今回は p0f というツールを用い、 Passive fingerprinting を実行
p0f
70
• p0f にはいくつかのモードがあるが、今回用いたのは SYN パケットを分析対象とするモード
• 判定に用いるのは以下のデータ– ウィンドウサイズ– TTL の初期値– Don’t Fragment ビット– SYN パケット全体のサイズ– TCP オプション( NOP 、 EOL 、ウィンドウスケ
ール、最大セグメントサイズ、 SACK 、タイムスタンプ等)
– その他特徴的な点など• これらを集約し、シグネチャとしてデータベー
ス化する
CCC DATAset の分析
71
• 分析対象: CCC DATAset 2008, 2009 の攻撃通信データ
• p0f を適用した結果、既存の OS ではない、 UNKNOWN であると判定されたシグネチャが多数得られた– TTL を 2 の累乗の値に切り上げ、初期値として推定
、集約– アウトバウンド 1種、インバウンド 43種のシグネ
チャが得られた• UNKNOWN のシグネチャを総称して、 MWS シ
グネチャと呼ぶこととする• 以後、インバウンドの通信のみを分析対象とする
MWS シグネチャの例
72
• 60352:64:0:52:M1240,N,W2,N,N,S:.:MWS:60352_1– ウィンドウサイズが 60352 バイト– TTL の初期値が 64– Don’t Fragment ビットが 0– SYN パケット全体のサイズが 52 バイト– 以下のオプションが設定されている
• 最大セグメントサイズ、 NOPオプション、ウィンドウスケールオプション、 SACK
– その他の特徴はなし– OS の名称、詳細(バージョン等)
• 今回は、ウィンドウサイズの値により分類し、名称を付けた
CCC DATAset の分析:全体 (1)
73
• 既存シグネチャ、 MWS シグネチャの SYN パケット数の比較– 2009 年度は 2008 年度に比べ全体的に通信量が減少している– 両年度とも、 SYN パケットの半分以上が MWS シグネチャによるもの
CCC DATAset の分析:全体 (2)
74
• シグネチャ毎の送信元 IP アドレス数– SYN パケット数ほどではないが全体的に減少している– 送信元ホストの半分以上が MWS シグネチャによる通信をしている
CCC DATAset の分析:シグネチャ別 SYN パケット数 (1)
75
• シグネチャ毎の SYN パケット数 (2008)
CCC DATAset の分析:シグネチャ別 SYN パケット数 (2)
76
• シグネチャ毎の SYN パケット数 (2009)
CCC DATAset の分析:シグネチャ別送信元 IP数 (1)
77
• シグネチャ毎の送信元 IP数 (2008)
CCC DATAset の分析:シグネチャ別送信元 IP数 (2)
78
• シグネチャ毎の送信元 IP数 (2009)
CCC DATAset の分析:MWS シグネチャの送信先ポート
(2009) (1)
79
両年度を通じて登場頻度の高いシグネチャについて、 2009 年のデータにおける送信先ポートを分析
左: 16384_1 、右: 53760_4
CCC DATAset の分析:MWS シグネチャの送信先ポート
(2009) (2)
80
左: 60352_3 、右: 60352_6 135 、 139 、 445 、 1433 、 2967 の各ポート
については、それぞれに応じた脆弱性があることが知られている
CCC DATAset の分析:頻度の高い通信パターンの分析 (1)
81
• ホスト A は MWS シグネチャ 60352_6 で通信– 以下 SYN パケットのみ
21:26:41 ホスト A:9109 -> ハニーポット A:135 (scan)21:26:41 ホスト A:9110 -> ハニーポット A:135 (rpc)21:26:43 ホスト A:9197 -> ハニーポット A:135 (rpc)21:26:43 ホスト A:9203 -> ハニーポット A:1013 ( シェルコード送信 )
21:26:43 ハニーポット A:1028 -> ホスト A:3450 (malware 要求 )21:26:43 ハニーポット A:1028 -> ホスト A:3450 (malware 要求 )
※各行冒頭はタイムスタンプ
CCC DATAset の分析:頻度の高い通信パターンの分析 (2)
82
• ホスト B は MWS シグネチャMWS 53760_4 で通信
00:35:11 ホスト B:56101 -> ハニーポット B:135 (rpc)00:35:13 ハニーポット B:1027 -> ホスト B:47602 (malware 要
求 )00:35:13 ハニーポット B:1027 -> ホスト B:47602 (malware 要
求 )
• CCC DATAset の攻撃元データに、ダウンロードが成功した記録が残されている
2009-03-13 00:35:13, ハニーポット B,1027, ホスト B,47602,TCP,c925531e659206849bf7********************,PE_VIRUT.AV,C:\WINNT\system32\csrs.exe
CCC DATAset の分析:頻度の高い通信パターンの分析 (3)
83
• ホスト C は、最初の SYN パケットのみMWS シグネチャ 16384_1 で通信• 2 つ目・ 3 つ目の SYN パケットは Windows のシグネ
チャであった
00:57:09 ホスト C:6000 -> ハニーポット B:135 (scan)
00:57:13 ホスト C:3197 -> ハニーポット B:135 (rpc)
00:57:15 ホスト C:4139 -> ハニーポット B:135 (rpc)
CCC DATAset の分析:シグネチャ毎の通信内容
84
シグネチャ ftp http irc shell smb sql
MWS 60352_6 232 0 0 558 0 0
MWS 53760_4 50 1 0 307 0 0
MWS 60352_3 38 0 0 66 0 0
MWS 65535_7 12 0 0 21 0 0
MWS 60352_2 0 0 0 18 0 0
MWS 60352_1 0 0 0 6 0 0
一度以上通信が成立したシグネチャについてまとめた表
MWS シグネチャでは ftp と shell コード送信が多く、他はほとんどないことがわかる
すべての通信 694 563 202 1660 9234 723
他のネットワーク通信データの分析:
早稲田大学 (1)
85
• 早稲田大学の対外接続回線におけるすべての通信データ ( SYN パケットのみ、 7/1~ 7/7 )を分析
• 今回抽出したシグネチャを適用したところ、 44種のうち 20種が検出された
• 全送信元 IP アドレス 954,100 に対し、 MWS シグネチャを有するものは 280 (約 0.03% )程度
• 多く発見されたシグネチャやその送信先ポートなどの傾向は CCC DATAset とは大幅に異なった– ファイアウォールの内側でデータの収集を行ったため
と考えられる
他のネットワーク通信データの分析:
早稲田大学 (2)
86
• MWS シグネチャはすべて DF ビットが 0 であったが、これを 1 に変更して再度 p0f を適用
• 44種のうち 31種が検出された• 全送信元 IP アドレス 954,100 に対し、これらのシグ
ネチャを有するものは 5300 (約 0.5% )程度に増加した
• CCC DATAset にて検出されたシグネチャは、既存OS のものも含めすべて DF ビットが 0 であった
• DF ビットは経路上のルータ等で書き換えられる可能性がある。もともとは DF ビットが 1 であった可能性がある– DF ビットが 1 だとしても、 MWS シグネチャと既存のシ
グネチャとはやはり異なる
他のネットワーク通信データの分析:
企業の smtp データ
87
• ある企業網の電子メールサーバに接続したネットワークセグメントで収集した TCP ヘッダデータ( SYN パケットのみ、 3/1~ 3/31 )を分析
• 全通信元 IP アドレス 1,230,830 に対し、 MWS シグネチャを有するものはわずか 53
• これらの IPから発信されたものはほとんどスパムメールであった– マルウェアの構成によってはスパム送信モジュール
を搭載するものもあると考えられる
• MWS シグネチャの DF ビットを 1 にして再度 p0fを適用したところ、これらのシグネチャを有するIP は 2877 (約 0.23% )まで増加した
2.2 まとめ
88
• CCC DATAsetから FKM の可能性がある(既存のTCP スタックと異なる実装である)シグネチャを抽出、通信の分析を行った
• これらのシグネチャによる攻撃通信が多数見られた
• 他のネットワーク上でもこれらのシグネチャが見られることが確認できた– 割合としては、各々送信元 IP の 1%未満– CCC DATAset は、実ネットワーク上の通信に比べ、
これらのシグネチャによる通信の割合が非常に高い
• 今後の課題– シグネチャの詳細な検討、さらなる集約– ハニーポットを利用した FKM の収集と分析– 他のネットワーク通信データの詳細分析
![インターネットの現状/セキュリティレポート | メディア業 …...[ インターネットの現状] /セキュリティ メディア業界における Credential](https://img.pdfslide.tips/doc/110x75/60f7206d976abf2c651a082a/ffffffccifffffff-ff.jpg)
![インターネットの現状/セキュリティ | 小売業界へ …...[インターネットの現状] /セキュリティ 金融サービスへの攻撃エコノミー:第](https://img.pdfslide.tips/doc/110x75/5f5401317ec4a043cd21751e/ffffffccifff-coe-ffffffcc.jpg)
