ICSS 11 (第11回情報通信システムセキュリティ研究会)
-
akirakanaoka
- 4378
- 0
- 3
- 0
-
- いいね!0
Akira Kanaoka (金岡 晃)
@akirakanaoka
今日のICSS研究会、ハッシュタグ #icss11 を付けてつぶやきます。ICSS研究会に参加する方、よろしかったらお使いください。
2010-06-17 10:31:25
Akira Kanaoka (金岡 晃)
@akirakanaoka
ラック金子さんらの「通信トラフィックの分析によるGumblar感染PCの可視化」。 #icss11
2010-06-17 13:03:27
Akira Kanaoka (金岡 晃)
@akirakanaoka
論文概要:Gumblarが盗み出した情報を利用してる攻撃者が、どの程度拡散しているかの調査。FTPトラフィックを分析して、Google Earthを使って地理的可視化。それでWeb改ざん発信源・感染マシンの地理的分布を分析。 #icss11
2010-06-17 13:04:30
Akira Kanaoka (金岡 晃)
@akirakanaoka
挙動確認にFTPハニーポットを構築。VMで感染マシンと、被害マシンを作った。Gumblarが取得したFTPアカウントの通信を可視化。地図で。IPアドレスとGeoIP、GoogleEarthで。読み書き・書きのみ・読みのみ・接続のみで色分け。 #icss11
2010-06-17 13:14:30
Akira Kanaoka (金岡 晃)
@akirakanaoka
欧州と北米で似たIPアドレスを利用。 利用されていると思われるのは・・クラウドらしきドメインが見える。クラウドサービスを利用していたマシンがボット感染してるんじゃないかと予想。 #icss11
2010-06-17 13:15:25
Akira Kanaoka (金岡 晃)
@akirakanaoka
まとめ:8080は複数IP・複数拠点。Read用IP/Write用IPといった役割分担ない。1通信におけるファイル操作量は少ない。Xは単一IP、アメリカに多い、1通信におけるファイル操作量は膨大。 #icss11
2010-06-17 13:20:15
Akira Kanaoka (金岡 晃)
@akirakanaoka
質問タイム。NICT井上さん:今回のシステム、FTPアクセスがされる被害サーバはWebサーバも入っているよね→Yes→Webのコンテンツってどんなのを用意した?→Apacheがもともともっているやつ。特に専用に作ったものではない #icss11
2010-06-17 13:23:09
Akira Kanaoka (金岡 晃)
@akirakanaoka
(続き)特に専用に作ったものではない→Read/WriteはそのApacheのファイル群?→ ちょっと覚えてない→質問の意図は「ファイルコンテンツ内容で攻撃者が動きを変えるのか?」でした。 #icss11
2010-06-17 13:23:56
Akira Kanaoka (金岡 晃)
@akirakanaoka
NTT秋山さん:Connectのみ、というのは、FTPの認証が確立した、ということ?→Yes。Xの場合、アクセス元IPが少なかったのは、Xが年末に消滅したからでは?と予想するけど→ なるほど。 #icss11
2010-06-17 13:26:00
Akira Kanaoka (金岡 晃)
@akirakanaoka
九工大尾家先生:可視化の目的。見て、なにをわかりやすくしたかの工夫などを。→ 攻撃ボットが役割分担があるのでは?という予想からスタートしているので、Read/Writeなどを分けて表示していた。 #icss11
2010-06-17 13:27:24
Akira Kanaoka (金岡 晃)
@akirakanaoka
NICT井上:LACの業務でこれを使って監視している→ No.似たのは使ってる。 #icss11
2010-06-17 13:28:02
Akira Kanaoka (金岡 晃)
@akirakanaoka
NICT井上:可視化はどれだけ役立っている?→ 直接はそんなに。ただこういうのが来るという、心構えができる。 #icss11
2010-06-17 13:28:32
Akira Kanaoka (金岡 晃)
@akirakanaoka
続いて2件目。 九大鶴田さんらの「ダークネット観測データの時系列パタン発見によるスクリーニングについて」。 #icss11
2010-06-17 13:29:01
Akira Kanaoka (金岡 晃)
@akirakanaoka
論文概要:ボット脅威の早期検知にはダークネットなどのネット観測による脅威傾向把握が必要。で、昔からあるマルウェアの「ありふれた」不正パケットが、脅威検知を困難にしてる。ありふれた不正パケットを取り除くデータスクリーニング。 #icss11
2010-06-17 13:30:13
Akira Kanaoka (金岡 晃)
@akirakanaoka
「スライドにIPアドレスがそのまま書かれていますが・・・わすれてください」ww #icss11
2010-06-17 13:31:58
Akira Kanaoka (金岡 晃)
@akirakanaoka
着目するデータは時間・送信アドレス・送信ポート・受信ポート。これをパターン表現。基本パタンを持ち、時系列データと照合。頻出率を計算。 #icss11
2010-06-17 13:34:45
Akira Kanaoka (金岡 晃)
@akirakanaoka
照合するための基本パターン(ESP)を作る。作るための発見アルゴリズムDSPも提案。 #icss11
2010-06-17 13:38:51
Akira Kanaoka (金岡 晃)
@akirakanaoka
実験データはNICTのもの。 スクリーニングで削減されたものは、全体的にはそんなに多くないが、ピークはスクリーニングで回避できている。 #icss11
2010-06-17 13:47:18
Akira Kanaoka (金岡 晃)
@akirakanaoka
NTTヤギさん:時系列パタン生成時の時間設定が0.5s。この設定は精度に影響しそうだけど、その検討はどうやって?この設定だとたしかにバーストは避けれそう。 →長いものにも変えられます。 #icss11
2010-06-17 13:52:48
Akira Kanaoka (金岡 晃)
@akirakanaoka
横国大吉岡先生:頻出パタンをどう扱うか。スクリーニングして削除するだけでなく、他の用途にも応用できそうだが、なぜスクリーニングに? ボットなんかの場合、逆に捨てられるところに特長でるかもよ。 #icss11
2010-06-17 13:54:51
Akira Kanaoka (金岡 晃)
@akirakanaoka
京大力武先生:信号処理の自己相関関数で似たようなことできるのでは?調べてみてもおもしろいかも。 #icss11
2010-06-17 13:56:10
@expl01t
[ac] プログラム見ても(失礼なことに)お名前忘れてて,どのご発表なのかわからない件について.他にもTLな方々のご本名がなかなかでないことが多くなってきてる.アラ40怖い. RT: @aho1go でも,その前に明日のICSS発表スライドをN700で仕上げないと...orz
2010-06-17 13:58:03