A Proposal of A Method to Detect Security Events by using

複数セッションの相関関係を利用した
セキュリティイベント検知手法の提案
水谷 正慶 †
白畑 真 †
南 政樹 †
村井 純 †
† 慶應義塾大学大学院 政策・メディア研究科
252-8520 神奈川県藤沢市遠藤 5322
{mizutani,true,minami,jun}@sfc.wide.ad.jp
あらまし 本稿では通信に含まれる複数のセッションの相関関係を利用し，ボットをはじめとするマルウェ
アの活動や P2P ファイル交換ソフトの利用によるセキュリティイベントの検知手法を提案した．ボットや
ファイル交換ソフトは暗号化された通信や他のソフトウェアと類似した通信を利用しており，従来の手法で
はネットワーク上での検知が難しい．この問題を解決するため，複数セッションの発生順序や各通信に含ま
れる情報を利用し検知する手法を提案し，有効性を実験した．
A Proposal of A Method to Detect Security Events by using
Correlation of Multi-Session
Masayoshi Mizutani†
Shin Shirahata†
Masaki Minami †
Jun Murai†
†Keio University - Graduate School of Media and Governance
5322, Endo, Fujisawa-shi, Kanagawa 252-8520, Japan
{mizutani,true,minami,jun}@sfc.wide.ad.jp
Abstract In this paper, we proposed a method to detect security events indicating activities of bots
and P2P file sharing software by correlation between multi-sessions. It is difficult to detect Bots and P2P
File Sharing Software by existing methods, because their connections are encrypted and similar to traffic
of other applications. In order to resolve this problem, we proposed the detection method by order of
occurring sessions and information including another session.
1
はじめに
トウェアによる通信に見せかけた通信を検知するこ
とで，マルウェアや P2P ファイル交換ソフトの活動
ネットワーク上で発生する被害を伴う事件（ネッ
を検知することである．
トワークインシデント）を発見するためには，事件
侵入検知システム (IDS) をはじめとする既存のセ
に関わる事象（セキュリティイベント）の検知と分
キュリティイベント検知手法では，暗号化された通
析が必要となる．ネットワークトラフィックを監視
信や無害なソフトウェアに見せかけた通信への対応
することで，多数のホストのセキュリティイベント
が難しい．一部のソフトウェアに対しては活動の痕
を収集することが可能である．しかし，既存の手法
跡を発見できる可能性がある．しかし，それが検知
ではボットやコンピュータウィルス，スパイウェア
対象であるソフトウェアによるものであるかの検証
（総称してマルウェア），P2P ファイル交換ソフト
のためには，他の手法によるトラフィック内容の記
などが意図的に検知を回避を試みる通信を行ってい
録や，ネットワーク管理者による作業負担が必要と
るため，発見が難しい．
なってしまう．
本研究の目的は，暗号化された通信や無害なソフ
本稿では検知の難しいセキュリティイベントに対
し，複数セッションの相関関係を利用してセキュリ
層のポート番号も容易に変更でき，隠蔽を目的とし
ティイベントを検知する手法を提案する．セッショ
た設計がなされている．そのため，パケットやセッ
ンとは 2 ホスト間の通信を目的毎に分けたトラフィッ
ションから当該ソフトの利用を判断するのは難しい．
クである．本稿では TCP を用いる通信では一つの
TCP セッションを，UDP を用いる通信では送信元・
送信先ポートの組み合わせを，ICMP によるメッセー
ジ通知では要求と応答の組み合わせをそれぞれ一つ
2.2
他のソフトウェアと類似した通信
従来の検知手法は，各セッションに含まれるソフ
のセッションとする．提案手法では複数のセッション
トウェア固有の特徴点やプロトコルに着目している．
の出現順序やセッション内に含まれる情報の相互利
そのため，本来の検知対象とは異なるプロトコルが
用によって，暗号化された通信や他のソフトウェア
利用された場合，固有の特徴点やプロトコルが異な
に類似した通信によるセキュリティイベントを検知
るため，正確な検知は難しくなる．
する．本稿では提案手法を用いて実運用ネットワー
クで実験し，手法の有効性を検証した．
特にボットの場合，自身のソフトウェアアップデー
トや悪意のある活動の指示を受信するために，HTTP
や SMTP といった異なる目的のプロトコルを利用
現状のセキュリティイベント検
知手法における問題点
2
ネットワークトラフィックの監視によるセキュリ
ティイベント検知手法が普及したことで，意図的に
検知の回避を試みるソフトウェアが多く出現してい
る．従来のネットワーク監視によるセキュリティイ
し，別のソフトウェアの通信に見せかける．[2, 3]．
既存手法では，これらの脅威が発生させるセキュリ
ティイベントを検知しようとすると，他の無害な通
信も検知してしまう可能性が高い．このような検知
結果の検証は技術的に難しい場合が多く，さらに多
くの人的負担が必要となるため，実際の運用におい
ては効果が期待できない．
ベント検知手法では，通信内容に含まれる特徴点に
着目している．例として TCP, UDP のポート番号
やペイロードに含まれる文字列のパターンが挙げら
れる．このような検知手法の普及に対し，マルウェ
アや P2P ファイル交換ソフトが検知を回避するた
めの具体的な方法として，暗号化された通信と他の
ソフトウェアと類似した通信の 2 つが挙げられる．
関連研究
3
3.1
Traffic Classification
プロトコル毎に異なるトラフィックの傾向を利用
してプロトコルの種類を特定する手法である．[4] は
ベイズ推論を利用し，パケット長の分布などから通
信をしているプロトコルの種類を推測する．[5] で
2.1
暗号化された通信
ネットワークの監視では，暗号化された通信から
パケットやセッションに含まれる特徴点を判断する
のは極めて難しい．暗号化されていないレイヤから
部分的に情報を得られるが，セキュリティイベント
検知に利用するレイヤが暗号化されている場合がほ
とんどである．
暗号化された通信を利用する例として，P2P ファ
イル交換ソフトが挙げられる．交換しているファイ
ルの秘匿性を保つため，通信内容を暗号化している
実装が多く，検知の弊害となっている．eDonkey の
ような一部のソフトウェアでは，当該ソフトウェア
の特徴点が暗号化されていないため，従来の手法で
も検知できる．しかし，share や Winny[1] では特徴
点も含めて通信を暗号化している．トランスポート
も P2P ファイル交換ソフトのトラフィックの特定を
目的としている．[6] は IP アドレスやポート番号に
よるフローの発生をパターン化し，通信のプロトコ
ルを判定している．このような手法は基本的に QoS
の実現を目的として利用されており，通信をしてい
る具体的なソフトウェアの特定には至らない．
これらをセキュリティイベント検知に利用する場
合，検知結果の検証が必要となる．検知結果はおお
よその傾向しか得られないため，具体的にどのよう
なソフトウェアが利用されているかを特定するため
には，別途トラフィックの情報を記録し，分析する
必要がある．また，膨大なトラフィックを扱うこと
を前提にしている場合が多く，精度の向上よりは少
ない情報と少ない処理による判定を目指している．
そのため，検知対象となるソフトウェアの痕跡を発
見するためには利用できるが，ネットワーク管理者
の負担が大きくなりやすい．
3.2
相関分析による検知手法
従来の IDS やその他の機器から得られたセキュリ
ティイベントを元に，発生順序によってセキュリティ
イベントを関連づけし，新しいセキュリティイベン
トを発見する手法を相関分析と呼ぶ．これは [7, 8]
図 1: ボットによる通信の例
などにおいて，実現されている機能である．相関分
析では予め設定したルールに基づいてセキュリティ
イベントを発見する．[9] ではネットワーク上で発生
したセッションの送信元・送信先 IP アドレス，プ
ロトコル，ポート番号のような部分的な情報を記録
しており，相関分析に利用できる．単独では脅威と
ならないセキュリティイベントでも，複数のセキュ
リティイベントを関連づけることで，脅威となるセ
キュリティイベントを発見できる可能性がある．
図 2: Winny による通信の例
ただし，分析に利用するトラフィックやセキュリ
た IRC で join するチャンネル名も適宜変更されるた
ティイベントは全て保存しておく必要があるため，
め，検知のための特徴とするのは難しい．調査活動
二次記憶装置の負荷が大きくなる．ネットワークの
も急速なものについては検知できる可能性があるが，
広帯域化にともない，膨大な保存領域と高速な記憶
長時間にわたる調査活動は一般的な通信との区別が
処理が必要になってしまう．
困難である．一方，提案手法を用いる場合，これら
のセッションの出現順序とセッションに含まれる情
複数セッションの相関関係を利
用した検知手法の提案
4
4.1
提案手法概要
報に着目できる．疑わしいドメイン名の問い合わせ
結果に含まれる IP アドレスへの IRC 接続を発見す
ることで，IRC を利用するためにドメイン名を問い
合わせたことが分かる．また，IRC でメッセージを
受け取った直後に調査活動の可能性があるセッショ
本稿では，複数セッションの相関関係を利用した
ンを発見することで，命令の受信と活動の開始とい
脅威の検知手法を提案する．ネットワークを利用す
う順序にそった動作をしていると分かる．このよう
る大多数のソフトウェアは複数のセッションを発生
に各セッションを個別に監視するのではなく，複数
させる．あるセッションで得られた情報をもとにし
のセッションの関係性に着目しホストの振るまいを
た別のセッションの発生や，あらかじめ定められた
把握することで，ボットの検知が期待できる．
手順に従ったセッションの発生である．そして，あ
もう一つの例として，P2P ファイル交換ソフトを
るソフトウェアが発生させる各セッションは互いに
取り上げて説明する．大部分の P2P ファイル交換ソ
相関関係を持つ場合が多い．
フトでは，ピアの探索やファイルの検索などで多く
具体例としてボットによる通信の一例を図 1 に示
の情報を収集するため，類似するセッションを短時
す．図中では，ボットに感染したホスト 1 が DNS に
間で多数発生させる傾向がある．これらのセッショ
よるホスト名の問い合わせ，IRC サーバへの接続，
ンが暗号化されていたとしても，ソフトウェア固有
他のホストへの調査活動という順序で活動している．
のプロトコルがあるため，わずかながら特徴点が見
この場合，各セッションはボットの活動と特定でき
いだせる．P2P ファイル交換ソフトの具体例として
るほどに特徴的とは言えない．例えば疑わしいドメ
イン名の DNS の問い合わせ [10] は SMTP などでも
Winny の通信の一部を図 2 に示す．Winny は他ノー
ドに接続した直後に，自ノードの回線速度や解放し
発生する可能性があり，誤検知が起こりやすい．ま
ているポート番号などの情報を他ノードへ送信する．
そして，他ノードからノード一覧などの情報を受信
4.3
する．一連の通信は暗号化されているため，セッショ
ン毎の特徴からソフトウェアを特定するのは困難で
ある．しかし，類似した通信手順のセッションを短時
間に多数発生させるという通常は見られない振る舞
いから，特定のソフトウェアを発見することが可能
だと考えられる．このようなセキュリティイベント
を検知するためには，単一ではなく複数のセッショ
ンを監視する必要があり，本手法によって実現でき
ると考えられる．
提案手法に必要となる機能
提案手法では複数セッションによる検知のために，
各セッションの特徴を現すためのシグネチャ(Sn と
表記) とホスト毎に情報を保持するためのパラメー
タ (Pn と表記) という 2 つの機能を利用する．1 つ
以上のシグネチャとパラメータの組み合わせをルー
ル (Rn と表記) と呼ぶ．
シグネチャは各セッションに含まれるペイロード
の情報や，プロトコルの種別，ポート番号を検査す
る機能である．一般的なシグネチャ型 IDS のルール，
あるいはシグネチャに相当する．1 つのセッションに
4.2
セッションの相関関係の定義
複数セッションを利用して脅威の検知するために，
セッションの出現順序とセッション間の情報交換の
2 つを相関関係として定義する．
セッションの出現順序とは，あるソフトウェアが
発生させるセッションの種類と繰り返しの発生規則
をあらかじめ定義し，あるホストが発生させている
セッションの規則が，定義と合致あるいは類似して
いるかを検査する方法である．第 4 節で述べた通り，
マルウェアや P2P ファイル共有ソフトも一定の規
則に従ってセッションを発生させる．これらのソフ
トウェアは解析によって動作手順を分析できる [11]．
このようなセッションの発生順序は，検知対象によっ
て大きく異なる．そのため単純な繰り返しや逐次的
な発生順序だけではなく，様々なパターンを定義で
きなければならない．
セッション間の情報交換とは，一方のセッションに
含まれる情報を他方のセッションの発見に利用する
方法である．特に逐次的な順序で発生するセッショ
ンでは，一方のセッションによって得た情報を他方
対して複数の条件を表現できるものとする．[12, 13]
などに示されている検知ルールに類似する．また，
パラメータの値の変化によって検知と見なすシグネ
チャもある．
パラメータとはホスト毎に異なる値を保持するた
めの機能であり，セッション間の相関関係を汎用的
に扱うために利用される．パラメータはシグネチャ
と一致するセッションを発見した場合に，シグネチャ
に従って任意の値，文字列を保持する．パラメータ
機能を利用することで，関連する通信の情報を全て
保持する必要がなくなり，記憶領域を有効に利用で
きる．あるホストから発生するセッションの出現順
序を監視するためには，これまでに当該ホストから
どのようなセッションが発生したかを保持するため
のパラメータを用意する．S1 , S2 , S3 という順序で
発生するセッションの相関関係を表すためには，Sn
を検知した場合に，P1 に n を保存する．Sn+1 の検
知条件に P1 = n を含めることで実現できる．また，
セッションで情報を交換する場合もパラメータを経
由して実現できる．
のセッションに利用しやすい．例として，DNS によ
る名前解決が挙げられる．DNS は HTTP や SMTP
の通信を開始する際に接続先の IP アドレスを問い
5
実験
合わせるプロトコルであり，そのセッション中には
提案手法の有効性を検証するために，ボット活動
問い合わせ先のドメイン名や問い合わせ結果の IP
の検知と P2P ファイル交換ソフトの検知について
アドレスが含まれる．一定時間内に DNS の問い合
実験した．本研究の目的とする検知は正確に対象を
わせのセッションと問い合わせ結果に含まれる IP
発見できなければならない．これを踏まえ，ボット
アドレスへのセッションが発生を確認できれば，二
と P2P ファイル交換ソフトを検知するルールを用意
つのセッションは互いに関連していると推測できる．
し，それぞれが意図したセキュリティイベントとし
これによって，複数のセッションの関係性を明らか
て検知するかを確認した．そして，実際の運用ネッ
にし，セキュリティイベントの検知に利用できる．
トワークのトラフィックを監視し，誤検知が発生し
ないかを調査した．
表 1: 実験用ルール 1(R1 ): ボット検知用ルール
S1
P1
S2
DNS による Spyware, ボットで使用され
るドメインの問い合わせを検知する．検
知対象となるドメインは [10] を参考に，
3322.org, cjb.net, maxonline.com, vendaregroup.com, seznam.cz, botstealer, dawnsoul のいずれかの文字列を含むドメイン名
と設定した．
S1 の発見後，当該問い合わせに対する応答
の A レコードを，問い合わせ元ホスト H に
保存する．パラメータの保持期間は 120 秒
とした．
IRC サーバへの接続として，記録していた
A レコード (P1 ) への接続を検知する．
表 3: R1 を用いたトラフィック監視結果の内訳
ドメイン名に含まれる文字列
P1
S2
TCP の接続確立後から，5 パケット連続し
て同じサイズのパケットが送受信されるセッ
ションを検知する．
0 から開始し，S1 が検知されるごとにクラ
イアントとサーバの両ホストの P1 が 1 ずつ
増加する．保持期間は 180 秒とした．
P1 が 5 以上になったことを検知する．
S2 検知数
313
2,772
102
2,678
0
0
0
0
0
0
0
0
0
0
3322.org
cjb.net
maxonline.com
vendaregroup.com
seznam.cz
botstealer
dawnsoul
表 4: R2 を用いたトラフィック監視の結果
パラメータの状態 ホスト数
P1
P1
P1
P1
P1
表 2: 実験用ルール 2(R2 ): Winnyp 検知用ルール
S1
S1 検知数
5.2
=1
=2
=3
=4
=5
のホスト
のホスト
のホスト
のホスト
のホスト
2,542
5
2
0
0
誤検知発生率の調査
調査は著者が所属する大学の研究室ネットワーク
において境界点を監視した．期間は 2007 年 4 月 30
日の 03:00 から 2007 年 5 月 8 日 02:00 まで監視し
た．流通トラフィックは平均 7.18Mbps であり，接
5.1
動作確認
RBot 亜種の検知動作確認 ボットの検知に利用
したルールを R1 として表 1 に示す．RBot の亜種
(Kaspersky free online virus scan[14] は Backdoor.
Win32.Rbot.bms と判定) の検体を Windows XP で
感染，動作させた際の通信を監視したところ，R1 を
用いることでボットの活動として判定した．
Winnyp の検知動作確認 現在，検知が難しい P2P
ファイル交換ソフトウェアとして Winnyp のトラ
続しているホストは約 500 台である．境界点を通過
したトラフィックをボット検知用のルールで分析し，
通常のトラフィックによってボットが誤検知されな
いかを検証した．図 3 に調査を行ったネットワーク
の構成を示す．ネットワークは外部から内部へのト
ラフィックを制限しているファイアウォールが設置
された一般セグメントおよびサービスセグメントと，
ファイアウォールがない実験セグメントで構成され
ている．観測は，これらのセグメントからの通信が
集約されるルータの手前で行われた．
フィックの検知を検証した．Winnyp は winny と異
なりプロトコルが公開されておらず，検知手法が一
般化していない．Winnyp のトラフィックを調査し
たところ，1) 接続確立後の通信手順がほぼ同一であ
る 2) 複数のノードに接続し情報を送受信するの 2
点が確認できた．また，Winnyp が発生させるセッ
ションの大部分が TCP セッション開始直後の 5 パ
図 3: 調査に利用したネットワークの構成
ケットが同じサイズのセグメントを持つと分かった．
R1 の誤検知発生率の調査
以上の点をふまえ，設定した Winnyp 検知用のルー
知結果を示す．S1 としてボットが頻繁に利用するド
ルを R2 として表 2 に示す．R2 を用いて 3 種類の
メイン名の問い合わせが合計 5,865 件検知されてい
Winnyp トラフィックを監視し，正常に検知できる
る．しかし，問い合わせ結果の IP アドレスに対し
ことを確認した．
て IRC の接続をしたホストは確認されず，ボットの
表 3 に R1 を用いた検
活動は確認できなかった．既存のネットワーク監視
では不審なドメイン名の問い合わせは検知するが，
有効性を示した．ネットワークインシデントの発見
それらが悪意のある活動とは限らない．提案手法を
において，暗号化された通信や他のソフトウェアに
用いることによって悪意のないドメイン名の問い合
類似した通信を利用する脅威は検知が難しい．これ
わせをセキュリティイベントから除外することがで
を解決するために，複数のセッションを関連づけし
きた．
ながらネットワークトラフィックを監視する手法を
提案した．現状では検知が難しい対象としてボット
R2 の誤検知発生率の調査 本ルールによって S1 を
検知したホストに対して，P1 がとった値を表 4 に
と P2P ファイル交換ソフトを例として挙げた，こ
示す．S1 を 1 回だけ検知したホストは 2,542 台あっ
ことを示した．
の二つについて実験を行い，それぞれが検知できる
たのに対し，2 回検知したホストは 5 台，3 回検知
したホストは 2 台であり，4 回以上検知したホスト
は存在しなかった．
参考文献
[1] 金子 勇. Winny の技術, chapter Appendix C. アス
キー, 10 2005.
6
考察と今後の課題
第 5 節の結果は，提案手法の有効性を示している．
各ルールを用いて，それぞれのソフトウェアによる
通信を正常に発見することに成功した．また，同様
のルールを用いて実ネットワーク上で誤検知が発生
しないことを確認した．2 つのルールに見られた傾
向として，共に S1 の検知数は少なくないという点
が挙げられる．これは，既存の検知手法で S1 のみを
検知ルールとして用いた場合，誤検知が多発する可
能性を示唆している．よって，提案手法はトラフィッ
クが暗号化された P2P ファイル交換ソフトや他の
ソフトウェアと類似した通信を利用するボットが検
知に有効である事が分かる．
しかし，今回の実験で検証に用いたルールは 2 つ
のみであり，実験環境も限定的であった．今後は提
案手法が一般的に利用可能であることを示すために，
様々な種類のルールで検証する必要がある．さらに，
様々なネットワーク環境による検証や再現性のある
検証も同時に必要となる．
ボットの検知が困難である理由の一つとして，ボッ
トの頻繁なアップデートによる活動パターンの変化
があげられる．提案手法もルールを用いた検知であ
るため，この問題点は解決されていないが，[15] な
どでも機械的な解析が進んでいる．このような技術
と連携し，亜種発生から短い時間で検知が可能にな
る機構が必要となる．
7
まとめ
本稿では，複数セッションの相関関係に着目した
ネットワークトラフィック監視手法を提案し，その
[2] Paul Bcher,Thorsten Holz,Markus Ktter,Georg
Wicherski. Know your enemy: Tracking botnets,
5 2005.
[3] David Geer. Malicious bots threaten network security. Computer, 38(1):18–20, 2005.
[4] Andrew W. Moore, Denis Zuevy. Internet Traf
c Classification Using Bayesian Analysis Techniques. SIGMETRICS0́5, 2005.
[5] P-CUBE.
Approaches To Controlling Peerto-Peer Traffic:
A Technical Analysis.
http://www.p-cube.com/doc root/products/
Engage/WP Approaches Controlling P2P
Traffic 31403.pdf.
[6] Thomas Karagiannis, Konstantina Papagiannaki,
and Michalis Faloutsos. Blinc: multilevel traffic
classification in the dark. In SIGCOMM ’05: Proceedings of the 2005 conference on Applications,
technologies, architectures, and protocols for computer communications, pages 229–240, New York,
NY, USA, 2005. ACM Press.
[7] OSSIM Open Source Security Information Management. http://www.ossim.net/.
[8] ArcSight. http://www.arcsight.com/.
[9] LLC QoSient. Argus, 2000. http://qosient.com/
argus/.
[10] Bleeding edge of snort: spyware-dns.rules, Aug
2007. http://www.bleedingsnort.com/.
[11] 須藤 年章 and 富士原 圭. ”仮想インターネットを用い
たボットネット挙動解析システムの評価”. Computer
Security Symposium 2006, 2006.
[12] Vern Paxson Robin Sommer. Enhancing bytelevel network intrusion detection signature with
context. ACM, 2003.
[13] 水谷正慶, 白畑真, 南政樹, 村井純. Session-based
IDS の設計と実装. 電子情報通信学会 次世代ネット
ワーク論文特集, Mar 2005.
[14] ”Kaspersky Lab”.
Kaspersky free online
virus scan, 1997. http://www.kaspersky.com/
scanforvirus.
[15] 独 立 行 政 法 人 情 報 処 理 推 進 機 構.
ウイルス
情 報 ipedia, 2006.
https://isec.ipa.go.jp/zhavirusdb/web/Top.php.