今までの研究成果及び novel...
DESCRIPTION
今までの研究成果及び NOVEL プロジェクトでの 今後の展望. 政策・メディア研究科一年 直江健介 ([email protected]). 所属. ニューラルネットワーク 武藤研究会セキュリティ班 INAS 既存の侵入検知システム ネットワークトラフィックの可視化 ウイルス カーネルセキュリティ 新しいネットワーク侵入検知システムの開発. 新しい侵入検知システム. クラスタ分析手法を用いた IDS 分散型侵入検知システム( DIDS). セキュリティの現状. PC ユーザの増加 ウイルスによる被害の増加、最近は減少傾向 - PowerPoint PPT PresentationTRANSCRIPT
所属ニューラルネットワーク武藤研究会セキュリティ班 INAS
既存の侵入検知システムネットワークトラフィックの可視化ウイルスカーネルセキュリティ新しいネットワーク侵入検知システムの開発
新しい侵入検知システムクラスタ分析手法を用いた IDS分散型侵入検知システム(DIDS)
セキュリティの現状 PCユーザの増加ウイルスによる被害の増加、最近は減少傾向常時接続のインフラやサービスが充実SOHOや家庭内 LANなどの小規模ネットワーク
(図 IPAから)
今まで以上、リアルタイムに不正アクセスを検出したい
IDS の位置付け
環境と脅威に応じた動的(能動的)な防御
IDSによる通知
侵入の検出 侵入失敗の検出
不正侵入・不正アクセスの 具体的な行動の流れ
侵入検知システム( IDS)とは? IDSの種類
ネットワークベースホストベース
検出方法 不正検出 異常検出
新しい侵入検知システムクラスタ分析手法を用いた IDS分散型侵入検知システム(DIDS)
既存 IDSの問題点と課題ネットワークベース IDSの欠点
シグネチャの管理が大変なため安定した運用が難しい
未知の攻撃手法に対して脆い ネットワーク負荷がかかる
NIDS/HIDS両方の欠点(根源的な問題) ホストが落とされたら終わり Sshや VPNなどの暗号化された監視が不可能
アイデア他の IDSが取りこぼす攻撃を検出できる IDSを開発したい!
未知の攻撃に対しても反応したい!
異常検出アルゴリズムを用いればできる??
ADが敬遠されてきた理由誤警報率が高いプロファイルの作成が大変正常の定義が困難
関連研究・関連 IDS「ネットワークトラヒックのクラスタリングによる侵入検出手法に関する研究」 SFC修士論文 磯崎宏氏
「侵入検知に関するレポートでは長期プロファイルと短期プロファイルを比較する統計的異常解析手法」 沖電気研究開発 武内春夫氏、福士賢二氏
INASの開発する NIDS用いる技術 ー クラスタ分析を用いた異常検出 異常検出のアルゴリズム
統計的手法、ルールベース、ニューラルネットワーク、クラスタ分析
正規化>距離を測る>判別 クラスタリング手法: k- 平均法、マキシマムニューラルネットワークモデル、 kohonen モデル
判別手法:ユークリッド距離、マハラノビス距離
クラスタ分析(分類検出の利点)属性間の関係を調査する事が可能各攻撃手法を検出する為の効果的な属
性に関する背景知識を持つ必要が無い
要するに経験的にやらなくてはいけなかった不正検出法と違いこのクラスタ分析による異常検出法は予備知識を必要としない=未知の攻撃にも対応可能
新しい侵入検知システムクラスタ分析手法を用いた IDS分散型侵入検知システム(DIDS)
作成しようとする DIDSとは?検出部分のセンサと制御部分のマネジャを一括。ログ、シグネチャ、プロファイルなどの検出に必要な DBを分散配置
攻撃手法や不正アクセスのパターンを蓄積、学習
異常検出のアルゴリズムも採択することで誤警報率を抑制
シグネチャと攻撃手法、不正行為とプロファイルの比較を高速化(メタデータを生成)
嬉しいことは?一つ一つのマシンでの処理は減る
ネットワーク全体としてみたときに連携力があり堅牢になる
PCユーザで管理可能 パーソナル FWに取って代わる?
ユーザが多ければ多いほどデータが取れるユーザレベルで定義ファイルを作成、 UP
イメージ図
しかし今の興味は無線ネットワークの脆弱性について
Wireless Securitythe vulnerability of WEP
andapplicating IPsec to wireless systems
ワイヤレスネットワークインフラが整っていない通信速度が遅いセキュリティを気にして・・・ 値段が高い
通信機器の速度向上 ノート PC、 PDAなどのモバイル端末の普及 IEEE802.11b規格 >11Mbps,2.4GHz 値段もそこそこ
IEEE802.11シリーズのセキュリティ
SS-ID(or Extended Service Set IDentifier) 32byte以内 –ユーザが自由に設定
WEPMACアドレスフィルタリング
WEPとは?Wireless Equivalent Privacy
暗号化形式は RC4 鍵長は 64bit/128bit
40bit secret key plus 24bit IV 104bit secret key plus 24bit IV
IV(Initialization Vector) 毎回変化する部分実際にユーザが入力するのは 40bit/104bit 英数字に直すと5文字 /13文字
イメージ図
もっと分かりやすく(ないかも)
RC4の欠陥 Weaknesses in the Key Scheduling Algorithm of RC
4 Scott Fluhrer,Itsik Mantin,Adi Shamir
主に IVの仕様欠陥 IVデータスペースが 24bitしかない
5Mbpsのネットワーク・アクセス・ポイントで 24ビットで可能な組み合わせのパケットが半日たらずで全部通過する
IEEE802.11規格では IVが毎パケット違わなくてもよい
今までどうしていたのか?WEPすらもしていないところがほと
んど
実際ワイヤレスネットワークをサービスと提供しているところはWEPを使い IPsecと絡めることで堅牢なものにしていた。
IPsecとは? (1) IPプロトコルのセキュリティ機能の弱さ
IPにセキュリティを持たせよう
IPsec ver1 RFC1825~RFC1829( 1995.8)
ProposedStandard IPsec version2 RFC2401~2451(1998.11)
IPsecとは?(2) 特徴
ネットワーク上の機密性を確保 ネットワーク上の完全性を確保 データの送信元を認証できる 標準プロトコル( IETF) 将来性( IP v6、 IP v4) アルゴリズムの選択の柔軟性 IPによる通信をすべて保護 VPNを構築可能 エンドユーザに透過的
IPsecとは?(3) 機密性 (ESP:Encapsulating Security Payload)
パケット単位で暗号化 認証 (AH:Authentication Header)
パケット単位で srcの認証 完全性 (AH,ESP)
パケット単位で改ざんのチェック IP 層で実現しているため上位層に透過的にセキュリティを提供
WEPを破るツールAirSnort
2001.8.2 Using the Fluhrer, Mantin, and Shamir Atta
ck to Break WEP 128bitの鍵長で暗号化した通信をおよそ 2時
間
新しい暗号手法RSA 社、 Hifn 社 (2001.12.1)
高速パケット キー設定・ (fast packet keying)データの各パケットを異なった鍵で暗号化できる
IEEEによって 802.11standardの追加修正として承認
WEP2 128ビット暗号、WEPと下位互換性あり 128bitの IV ほとんどのレガシーハードウェアに対応
結論ワイヤレスネットワークは APからはインターネットと同じ。
APまでの通信もWEPを使ってるだけでは不十分
セキュリティが注目されるとき破られたとき
普段通りに運用していると存在は希薄
今後取り組むべき課題実際にツールを使いWEPを破る実証実験
セキュリティ技術・知識の啓蒙 IDS開発