ICSS 15 (第15回情報通信システムセキュリティ研究会)
-
akirakanaoka
- 2909
- 0
- 2
- 8
-
- いいね!8
Akira Kanaoka (金岡 晃)
@akirakanaoka
試験運用とその結果。その組織はクラスBのアドレスを保持。ダークネットとライブネットが混在。期間は半年間。自動送信アラート数2714件(月平均452件)。分析者がマルウェア由来と判断したのは20件。そのうち現地感染確認は6件。未確認だが感染濃厚アラートが2件。 #icss15
2011-06-16 16:02:47
Akira Kanaoka (金岡 晃)
@akirakanaoka
自動送信アラートの多さの原因。大半は機器の誤設定・残設定と推測。理由→宛先アドレスが特定少数、昔のサーバ設定と思わしきポート番号(SSHやDNS、ファイル共有、HTTP)。ネットワーク機器も同様(SNMPやNetflow、ICMP)。 #icss15
2011-06-16 16:04:48
Akira Kanaoka (金岡 晃)
@akirakanaoka
まとめ:組織内の不正ホスト検知に有用だが、今後の課題あり。課題:アラート原因の正確な特定と、アラートの優先付け、分析者を介さないリアルタイム処理。 #icss15
2011-06-16 16:08:40
Akira Kanaoka (金岡 晃)
@akirakanaoka
質問:組織内の不正ホスト検知となると、内部のパケットキャプチャによる検知もある。それと比較してのGood/Badを。→IDSとなると、ネットワーク入口のみが多い。内部が見えにくいと考えている。ダイダロスは内部もO.K.→ ライブネットの中に置くと良い→ Yes #icss15
2011-06-16 16:10:41
Akira Kanaoka (金岡 晃)
@akirakanaoka
NICT中里さんの「nicterによるネットワーク観測および分析レポート ~ 長期ネットワーク観測に基づく攻撃の変遷に関する分析 ~」 #icss15
2011-06-16 16:14:40
Akira Kanaoka (金岡 晃)
@akirakanaoka
報告。3点。ダークネット長期観測に基づく統計情報。ハニーポット長期観測に基づく統計情報。ダークネットモニタリングによるBotネット観測。 #icss15
2011-06-16 16:17:11
Akira Kanaoka (金岡 晃)
@akirakanaoka
観測パケット数推移:前半はパケット数はゆるやかに減少傾向。ある時期を境に急増。 観測ホスト数推移:こちらも前半は緩やかに減少傾向。そしてある時期を境に急増。 #icss15
2011-06-16 16:21:19
Akira Kanaoka (金岡 晃)
@akirakanaoka
センサI,IIIはConficker.Aにより増加。センサIIは少し遅れて増加がスタート。これはConficker.D。P2P化されてUDPスキャンをし始めたことがセンサIIの増加原因 #icss15
2011-06-16 16:25:37
Akira Kanaoka (金岡 晃)
@akirakanaoka
Confickerによる観測ホスト数の急激な増加後、少し減少傾向にあるものの、増加時と比べて割合は少なく引き続き増加前よりかなり多いレベルにある。 #icss15
2011-06-16 16:26:56
Akira Kanaoka (金岡 晃)
@akirakanaoka
つづいてハニーポット観測。大きく4つ(ハニポI~IV)。I~IIIはソフトウェアで脆弱性をエミュレート。IVは3個のIPでバージョンの異なるWindowsOS。I~IIIはローインタラクション。IVはハイインタラクション。#icss15
2011-06-16 16:30:09
Akira Kanaoka (金岡 晃)
@akirakanaoka
マルウェア検体取得数推移(おそらく累計):ハニポIは4年で5000越え。ハニポIVは1年強で2000くらい? #icss15
2011-06-16 16:31:19
Akira Kanaoka (金岡 晃)
@akirakanaoka
取得検体数:26.6%がW32.Virut。 50%以上が4種類のマルウェアで占められている。しかもそのうち3つはずいぶん昔からある。 #icss15
2011-06-16 16:32:19
Akira Kanaoka (金岡 晃)
@akirakanaoka
つづいてボットネット観測。ボットネットの特徴:多数のホストが動作。同時に動作。特定プロトコルを利用。 #icss15
2011-06-16 16:34:35
Akira Kanaoka (金岡 晃)
@akirakanaoka
ユニークホスト数の観測から、急激なホスト数増加部分(スパイク)を抽出。移動平均ではなく分散を使って調査するとより如実に。 それにより、ボットネットの活動を観測。一月あたり5-10回の活動を感想。最近徐々に増えている。20回強/月。 #icss15
2011-06-16 16:37:35
Akira Kanaoka (金岡 晃)
@akirakanaoka
質問:ハニポ観測。検体取得数の推移。これは実際のネットワーク上の関係と同形になる?あるいはハニポにひっかかりやすいものだけ出て、新しいものは引っかからないとかいう関係はあったりする?→ ダークネット観測とハニポ観測を合わせた分析もしている。相関ある。#icss15
2011-06-16 16:41:01
Akira Kanaoka (金岡 晃)
@akirakanaoka
NICT井上さんの「災害時における大規模ダークネット観測網の活用に関する検討」 #icss15
2011-06-16 16:57:46
Akira Kanaoka (金岡 晃)
@akirakanaoka
東日本大震災による災害。ネットワーク機器も物理的障害や停電で機能停止し東北地方のインターネット機能不全が発生。不正トラフィック観測用の大規模ダークネット観測網を利用することでのインターネット死活状況の推定について検討。 #icss15
2011-06-16 16:57:56
Akira Kanaoka (金岡 晃)
@akirakanaoka
「ネットワークセキュリティが、災害後に果たせる役割は?」 非常に少なかったという感想を抱いている。 #icss15
2011-06-16 17:00:51
Akira Kanaoka (金岡 晃)
@akirakanaoka
ダークネット観測の特徴の1つにパッシブモニタリングがある。待っているだけでパケットがやってくる。ブラックホールセンサでゲット。平常時なら、ダークネットに飛んできたらアウト。アラートを出す。災害時に「ダークネットに飛んできたらセーフ」と考えてみよう。死活監視。 #icss15
2011-06-16 17:04:08