Comments
Description
Transcript
Click - NICT
インシデント分析の広域化・高速化技術に関する研究開発 (1)研究の目的 本研究開発は、広域分散型のインシデント分析システムを構築し、以下 の3つの問題を効率的に解決することを目的とする。 1) 攻撃の全域性および地域性 : 広く日本でどのような攻撃が起こっ ているのか、その攻撃にどのような地域性があるのかを明らかにする。 2) 攻撃の原因 : その攻撃は具体的にどのようなマルウェアに起因し ているのかを明らかにする。 3) 対策 : インシデント分析システムがどのように連携・対応するべ きかを明らかにする。 提案する広域分散型インシデント分析システムは、以下の3つの特長を 有している。 1) 地域エンド拠点及び地域分析拠点並びに統合分析拠点から構成される。 2) 日本全国の攻撃情報を的確に把握し、各地方拠点での特性、地域間の 差異などの情報に係る分析を目指している。 3) それぞれの拠点に最適な機能配分がなされ、各拠点の機能がセキュア な連携を行う。 (2)研究期間 平成 20 年度から平成 22 年度(3 年間) (3)委託先企業 (株)ラック<幹事>、(財)九州先端科学技術研究所、 (株)セキュアウェア、(株)セキュアブレイン、(株)クリプト、 ジャパンデータコム(株)、KDDI(株) (4)研究予算(百万円) 平成 20 年度 平成 21 年度 平成 22 年度 269(契約金額) 253( 〃 ) 238( 〃 ) (5)研究開発課題と担当 課題ア:攻撃及び関連マルウェアの高速・高精細攻撃検知・収集に関す る研究開発(NICT における nicter システムの拡張・高度化) 1. 実回線モニターによる攻撃初期挙動検知手法の高速化・高精細 化技術の研究開発((財)九州先端科学技術研究所) 2. 攻撃コード検出手法の高速化・高機能化技術の研究開発((株) セキュアウェア) 3. Web クローラによるマルウェア収集技法の高速化・高精細化技 術の研究開発((株)セキュアブレイン) 4. 非実行可能形式の未知マルウェア検知技術の研究開発((株)ラ ック) 課題イ:階層拠点間の分散協調のための分析結果情報の匿名化・秘匿化 技術に関する研究開発 1. 分析実施主体の匿名化手法の研究開発((株)クリプト) 2. 分析実施主体の認証手法および分析結果情報の秘匿化技術の研 究開発(ジャパンデータコム(株)) 課題ウ:階層拠点における分散協調型セキュリティオペレーションの基 盤技術に関する研究開発 1. 複数の階層化拠点における分散協調型セキュリティオペレーシ ョンのシステム基盤構築に関する研究開発((株)ラック) 2. 下位拠点と上位拠点における分析結果情報の定型化・共通化手 法の研究開発((株)ラック) 3. 最上位拠点(統合分析拠点(I-SOC))における複数分析結果間 の相関解析技法に関する研究開発((株)ラック) 課題エ:課題ア~ウを実環境で有効に機能させるための実証実験(KDDI (株)) (6)主な研究成果 特許出願: 0件(平成 20 年度) 外部発表: 6件(平成 20 年度) 具体的な成果 ア 攻撃及び関連マルウェアの高速・高精細攻撃検知・収集に関する研 究開発(NICT における nicter システムの拡張・高度化) ア-1 実回線モニターによる攻撃初期挙動検知手法の高速化・高精細化 技術の研究開発 (1)九州大学内に1Gbps 実回線モニター環境を構築した。 (2)下記二つの初期挙動解析アルゴリズムの基本設計と試作を行った。 1. 独立成分分析に基づく異常検知アルゴリズム 2. 近傍保存原理に基づく異常検知アルゴリズム (3)上記試作モジュールを用いて、攻撃挙動解析に基づく初期攻撃挙 動の抽出実験を行った。シミュレーションデータにより、ボットネ ットのような協調動作の異常を捉えられることを確認した。実デー タによる実験では,従来の異常検知アルゴリズムでは捉えられない 異常検知が可能であることを確認した。 ア-2 攻撃コード検出手法の高速化・高機能化技術の研究開発 (1)1Gbps 実回線における攻撃コード検知 に関して、nicter センサ ー機能とのインタフェース設計および実装を行った。 (2)ダークネット回線での評価環境構築 に関して、ダークネット回線 において、nicter センサー機能と整合性のある攻撃コード検出評価 環境を構築した。 (3)攻撃コードと脆弱性情報との関係に関して、脆弱性情報の収集を 開始した。同時に、攻撃コードと脆弱性情報との関連を解析するた めに必要な分析項目を抽出した。具体的な分析項目として、攻撃コ ードの分類、攻撃コードの出現時刻、攻撃コードの送信元 IP アドレ ス、脆弱性情報の発表時刻などがある。 (4)攻撃コードの特徴抽出に関して、検知した攻撃コードのパターン 抽出機能を、設計・実装した。実装したソフトウェアは、攻撃コー ドの特徴的な構造を検出し、その開始点および終了点を決定するこ とでパターンを自動的に抽出するものである。 (5)侵入行為分析に関して、攻撃コードが検出された後、同セッショ ン上のトラフィックを継続モニターし、以下の項目をデータベース 化(フロー情報、時刻、トラフィック内容、攻撃コードとの関連性) する機能について、設計および実装を行った。具体的には、まず、 攻撃コードが検出された時点でのフロー情報を保存し、その送信元 IP アドレスまたは宛先 IP アドレスが関係する通信を監視する。送 信元 IP アドレスまたは宛先 IP アドレスの各ホストの状態を、状態 遷移図に従って遷移させることにより、攻撃コードとの関連性をモ ニターするものである。 (6)上位拠点への報告 に関しては、検出結果を上位拠点(A-SOC) に報告する際のインタフェース設計および実装を行った。 (7)未知の攻撃への対応に関して、検知ハードウェアを遠隔からアッ プデート可能とする機能を設計・実装した。この機能は、 (1)1Gbps 実回線における攻撃コード検知で試作した攻撃コード検知ハードウ ェアモジュールに実装されている。 Web クローラによるマルウェア収集技法の高速化・高精細化技術 の研究開発 (1) マルウェアの配布に用いられる URL 情報の収集方法の調査・研 究については、マルウェアのダウンロードサイトなどの情報を集め た掲示板や公開データベースについて調査を行ない、マルウェアの 収集を目的とした URL 情報の効率的な収集方法について研究を行 なった。また、悪質なメールを受信しやすいようにしたメールアカ ウントを用意して、メール本文のリンク URL を辿りマルウェアを 収集する方法について調査・研究を行なった。さらに、収集した URL 情報、ダウンロードしたコンテンツ情報、マルウェアの情報を格納 するデータベースを構築し管理モジュールとして基本設計・試作を 行なった。管理モジュールは他のモジュールの管理も行なうものと し、操作は Web インタフェースを用いた。 (2) 多段かつ複雑な URL アクセスを必要とするマルウェア配布攻 撃について調査研究を行ない、その攻撃に対応した URL アクセス 手法をもとに Web ページやメール本文からリンク URL を抽出する 技術、および抽出した URL へアクセスして Web コンテンツをダウ ンロードする Web 自動検索エンジンの技術を確立し、収集モジュー ルとして基本設計・試作を行なった。 (3) Web 自動検索エンジン(収集モジュール)のクロール性能を評 価するための環境構築を行なった。 (4) 取得したマルウェア相当の検体が実際のマルウェアであるかど うかを判定する技術を調査・研究し、判定モジュールとして設計・ 開発を行なった。またマルウェアの判定性能を評価する環境を構築 した。 (5) マルウェアと判定された検体を情報通信研究機構(NICT)の nicter システムと情報連携するために必要となる、情報保管および 情報整理の仕組みについて基本設計・試作を行なった。 ア-3 ア-4 非実行可能形式の未知マルウェア検知技術の研究開発 (1) 本検知・解析では、アプリケーションソフトウェア(Word、Excel、 PowerPoint、一太郎)の脆弱性を利用する非実行可能形式マルウェ ア(マクロウイルス等は除く)を対象とし、検知エンジンの開発を 行い、プロトタイプの実装を行った。 (2) メールに添付されたファイルを検査することができるメール検 知部のプロトタイプの作成を行った。 (3) 検知エンジンで、Packer等により暗号化や圧縮が施され ているマルウェアについても、検知することを確認した。 (4) 非実行可能形式マルウェアの検知・解析をオンデマンドで行う 検疫システムとして、ユーザが提出したファイルを検査することが できるファイル検知部のプロトタイプの作成を行った。 (5) 検疫システムにて検知した結果をメールで通知するプロトタイ プの作成を行った。 (6) 検知エンジンで、クライアント PC に到達したメールに添付さ れたマルウェアを検知することを確認した。 (7) 上記のすべての検知・解析結果を上位拠点(地域分析拠点 (A-SOC))にメールで通知するプロトタイプの作成を行った。 (8) 検知収集された非実行可能形式のマルウェア検体は、情報通信 研究機構(NICT)の nicter システムのマルウェア DB に所定のフ ォーマットにて格納するための IF の設計を実施した。 イ 階層拠点間の分散協調のための分析結果情報の匿名化・秘匿化技術 に関する研究開発 イ-1 分析実施主体の匿名化手法の研究開発 (1) 従来の匿名化手法の調査と本イベント分析システムへの適合性 について精査し、必要な要件を抽出した。具体的には、2008 年に開 催された匿名化のワークショップ(ACM Workshop 2008)から従来 の匿名化手法を調査し、さらにそれらの参考文献を調査した。また、 適宜、匿名化の学会等の文献を調査した。いくつかの文献の調査後、 A-SOC や I-SOC の分析方法や分析に必要な情報を洗い出し、従来 の匿名化手法を適合できるかを精査した。 (2) 分析実施主体の匿名化すべき情報として、双方向の IP アドレス とポート番号を想定し、パケット単位での匿名化手法を開発し、実 装および評価を行った。具体的には、ハッシュ関数によりパケット の IP アドレスとポート番号を匿名化する手法の開発、実装を行った。 評価ではこの匿名化手法が攻撃に耐性があるかなどを明確にした。 (3) IDS が出力する一定時間内のシステム全体のふるまいを記述し たファイル単位での匿名化手法を開発し、実装および評価を行った。 IDS が出力したファイル内に対し(2)と同様の手法により匿名化 を行い、評価した。IDS ファイルのうち、本イベント分析システム が取り扱う情報に関しては匿名化可能であることを示した。 (4) pcap ファイルの形式を想定し、匿名化手法を開発および実装し、 評価を行った。具体的には、匿名化の評価を定量的に行う手法が提 案されており、それらにより評価を行った。パケットの送信元 IP と 時刻に関連がある場合、送信元 IP を匿名化したとしても、時刻から 送信元 IP が漏えいする可能性があることを示した。 (5) (1)から(4)の結果を踏まえ、階層化、分散化を想定し、 その環境での必要要件を抽出した。階層化、分散化されている場合 は、暗号鍵などの共有したい情報をどのように共有する必要があり、 これが要件の一つとして挙げられる。 イ-2 分析実施主体の認証手法および分析結果情報の秘匿化技術の研究 開発 (1)インシデント分析システムの特徴である地域に分散され階層化さ れたシステムに適応させうる認証手法を確立するための要件を抽出 した。 (2)C/S 型の認証局による一極集中型システムや、ハイブリッド型 P2P、 ピュア型 P2P、もしくはそれら以外の認証システムの構成法を検討 し、既存技術の適応可能性を検討・評価した。 (3)耐障害性を検討し、可能な限り回線障害や各 SOC のサービス・シ ステムダウン、ハッキングなどが生じた場合においても、インシデ ント分析システム全体に被害が発生しないもしくは、被害の範囲を 限定しうる認証手法・管理手法を開発および評価した。 (4)アクセスされる分析結果情報に対して、階層的にアクセスコント ロールされる必要があることから、認証手法と共に本インシデント 分析システムに適したアクセスコントロール技術を開発した。 ウ 階層拠点における分散協調型セキュリティオペレーションの基盤技 術に関する研究開発 ウ-1 複数の階層化拠点における分散協調型セキュリティオペレーショ ンのシステム基盤構築に関する研究開発 (1) 広域分散型インシデント分析システムの効果、各拠点への機能 配置と役割の明確化を行い、分散協調型セキュリティオペレーショ ンの要件の抽出を実施した。 (2) 分散協調型セキュリティオペレーションシステムのモデル化を 行い、機能、データ配置、インタフェースに関して、システム構成 図とデータフローを策定した。 (3) 分散協調型セキュリティオペレーションシステムの検証用環境 を構築し、セキュリティ装置でのモニタリング、モニタリングデー タの取得と試作プログラムの評価を実施した。 (4) A-SOC 用、I-SOC 用それぞれのレポートのテンプレートの検討 を行い、試作プログラムの実装を行った。 (5) 分散協調型セキュリティオペレーションを行うシステムと他シ ステムの連携インタフェースの試作を行い、レポートの出力を実施 した。 ウ-2 下位拠点と上位拠点における分析結果情報の定型化・共通化手法 の研究開発 (1) 各拠点で交換される情報の抽出・分類として、公開されている 分析結果情報とセキュリティ情報の共有化に関する国際標準化動向 を調査し、本システムで扱う情報を整理した。 (2) 攻撃イベントの定型化として、本システムで収集するアラート 情報、詳細ログ情報の検討とプロトコルの策定を行い、既存セキュ リティ装置のログと比較し、評価を行った。 (3) 分 析 結 果 情 報 の 共 有 化 に 関 し て x.sisfreq の 検 討 を 行 い 、 ITU-T,ASTAP で提案を行った。また、現在、観測数の多い攻撃の 分析結果を調査し、一覧に纏めた。 ウ-3 最上位拠点(統合分析拠点(I-SOC))における複数分析結果間の 相関解析技法に関する研究開発 (1) SOC 間の解析結果の相関性に関する分析手法の検討として、現 在、発生しているインシデント事例の調査と概況把握のためのカス タマイズの作成を実施した。 (2) 他地点マルチレイヤで分析を行う効果の検討と概況把握のため のツールのカスタマイズを実施した。 (3) 全体傾向に関する分析手法、地域個別性に関する分析手法を行 う為の設定方法及び表示方法を検討し、ツールの設定方法と表示方 法のカスタマイズを実施した。 (4) A-SOC 内の分析手法の検討として、現在、発生しているインシ デント事例の調査と情報共有用システムのプロトタイプを製造した。 エ 課題ア~ウを実環境で有効に機能させるための実証実験 (1) インシデント分析システムの実用性、実現性の評価にあたり、 少なくとも6以上の地域エンド拠点(L-SOC)、2以上の地域分析 拠点(A-SOC)、及び1つの統合分析拠点(I-SOC)により構成する 実証実験の設置場所、実験構成に関して検討を行い、1 団体から地 域エンド拠点(L-SOC)としての協力の内諾を得た。 (2) インシデント分析システム全体の運用性評価を実施するにあた って、各研究課題の機能により生成される収集データの統計、分析 結果などを統合的に管理・分析・共有することが必要であり、その 要件として①日本全体の網羅性の視点から、分析結果を提示、共有 できること、②日本全体と地域性を比較でき、その推移傾向などの 結果を提示、共有できること、③協調分散管理により、効率的な分 析データの管理・運用ができ、適正のあるデータ管理がなされてい ること、④本システムにおいて導出された分析結果(相関分析結果 も含む)の活用について、必要な拠点でその結果を共有でき、シス テム全体が有効に運用されていることなどについて検討を行った。 (3) インシデント分析システムが全体システムとして実用上十分な 性能であるかの性能評価、運用機能の最適配置分析評価などの実用 性の評価に関する基本的検討を行った。 (7)研究開発イメージ図 I-SOC 定型化・共通化 統合分析拠点用 セキュリティ オペレーション システム システム 広域分散型 インシデント分析 システム 他IRT 匿名化・秘匿化システム A-SOC 匿名化・秘匿化システム L-SOC L-SOC 定型化・共通化 地域分析拠点用 セキュリティ オペレーション システム システム 定型化・共通化 地域分析拠点用 セキュリティ オペレーション システム システム A-SOC 匿名化・秘匿化システム L-SOC L-SOC 定型化・共通化 システム 定型化・共通化 システム 定型化・共通化 システム 定型化・共通化 システム マルウェア検知・ 収集システム マルウェア検知・ 収集システム マルウェア検知・ 収集システム マルウェア検知・ 収集システム 図 1 広域分散型インシデント分析システム 他システム 「インシデント分析の広域化・高速化技術に関する研究開発」の開発成果について 1.研究開発の目標 • 本研究開発は、広域分散型のインシデント分析システムを構築し、以下の3つの問題を効率的に解決することを目的とする。 1) 攻撃の全域性および地域性:広く日本でどのような攻撃が起こっているのか、その攻撃にどのような地域性があるのかを明らかにする。 2) 攻撃の原因:その攻撃は具体的にどのようなマルウェアに起因しているのかを明らかにする。 3) 対策:インシデント分析システムがどのように連携・対応するべきかを明らかにする。 2.研究開発の背景 • 近年のコンピュータセキュリティインシデント(以下、「インシデント」という。)は、ますます巧妙化の傾向を強めていている。 例) 正規のWebサイトを装いつつ、ユーザがそのWebサイトを参照するだけでマルウェアをダウンロードさせる ソーシャルエンジニアリング手法を駆使して特定の個人に関連する偽の情報を流す、URLの見間違えを誘発する 情報収集や監視、インシデント解析を、一組織による対応だけで全てを充足することは自ずと限界がある。 > それぞれの組織が情報収集や監視等の対象としているネットワーク上の範囲が狭い範囲になりがちである > そこから得られたインシデント解析結果についても限定的なものにならざるを得ない状況となる > さらに、それぞれの組織によって、セキュリティオペレーションの運用方法やネットワーク環境が大きく異なる 国家安全保障を脅かすような緊急の対策を必要とする攻撃に対して、迅速かつ統一的な対応をすることが困難な状況。 • • 3.研究開発の概要と期待される効果 • a. b. c. d. e. f. 広域分散型インシデント分析システムは、広域化と高度化の効果を有している。 広域で分析することにより、攻撃の伝搬状況を把握することができる。 多地点の分析結果情報を共有することで、攻撃の予知や予防に情報を役立てることができる。 地域的な攻撃の特徴を把握することで、地域に特化した・地域向けのサイトの汚染状況等を 把握できる。 広域かつ高度な分析として、IP,URL,マルウェアの相関を調査することで、踏み台攻撃+マルウェアの挿入等の侵入経路を明確にすること ができる。 シェルコード検知や標的型メール攻撃で検知したURLとWebクローラーの結果と比較する事で、URLの妥当性が判断できる。 標的サイトに対する調査活動をネットワーク振る舞いから検知し、かつ、その後にシェルコードやSQLインジェクションが来たときに、調査活 動を実施したIPを把握することができる。(予兆と攻撃の関連性の把握) 4.研究開発の期間及び体制 平成20年度~平成22年度(3年間) NICT委託研究(株式会社ラック、財団法人財団法人九州先端科学技術研究所、株式会社セキュアウェア、 株式会社セキュアブレイン、株式会社クリプト、ジャパンデータコム株式会社、KDDI株式会社) 1 ①ア 攻撃及び関連マルウェアの高速・高精細攻撃検知・収集に関する研究開発 (NICTにおけるnicter システムの拡張・高度化)の主な成果 攻撃初期挙動検知手法の高速化・高精細化技術 の研究開発 攻撃コード検出手法の高速化・高機能化技術 の研究開発 初期挙動検知システム 上位拠点へ 侵入行為 異常検知エンジン A-SOC 攻撃コード 解析結果統合モジュール エンジン1 実回線 正常パターン モデル化 … … エンジン2 観測対象ネットワーク 1Gbps 攻撃コード検出評価環境 ダークネット回線 異常検出 脆弱性情報 前処理モジュール(データ加工) 攻撃コード 対応データベース 攻撃1 攻撃2 トラヒックデータ 攻撃3 (1) 九州大学内に1Gbps実回線モニター環境を構築した。 (2) 下記二つの初期挙動解析アルゴリズムの基本設計と試作を行った。 1.独立成分分析に基づく異常検知アルゴリズム 2. 2.近傍保存原理に基づく異常検知アルゴリズム (3)上記試作モジュールを用いて、攻撃挙動解析に基づく初期攻撃挙動の 抽出実験を行った。 攻撃4 インターネット Webコンテンツ(プログラム/ ページ)ダウンロード メール受信 上位拠点 アクセス (HTTP) Webコンテンツ (プログラム/ページ) ダウンロード 収集モジュール LowInteraction型 Webクローラー HighInteraction型 Webクローラー アクセス対象 URL情報 マルウェア、 ダウンロードした コンテンツの保管 管理モジュール 保存 判定モジュール 静的評価機能 脆弱性の検知機能 データベース コンテンツ評価結果 の保管 URL 情報 マル コンテ ウェア ンツ 情報 情報 不正プログラム評価機能 Web自動検索エンジン ホスト(CentOS) (仮想マシン制御) メール検知部 (添付ファイル ファイル検知部 (Web サーバー) ゲスト(Windows XP 等) (1) (2) &ヘッダ抽出) (1) 検知エンジンフロントエンド 取り出し 非実行可能形式の未知マルウェア検知技術 の研究開発 タスクコントローラー ダウンロードした コンテンツの 読み込み (1)マルウェアの配布に用いられるURL 情報の収集方法の調査・研究。管 理方法の基本設計・試作 (2)多段かつ複雑なURLアクセスを必 要とするマルウェア配布攻撃の調 査研究。Web自動検索エンジンの 基本設計・試作 (3)評価環境の構築 (4)取得したマルウェア相当の検体が 実際のマルウェアであるかを判定 する技術の調査・研究。判定モ ジュールの設計・開発 (5)nicterシステムと情報連携するため の情報保管および情報整理の仕 組みについて基本設計・試作 MS09-01 ・ ・ ・ ・ Webクローラーによるマルウェア収集技法の 高速化・高精細化技術の研究開発 アクセス (HTTP、POP) MS02-012 MS03-01 MS03-02 ・ ・ ・ (1)1Gbps実回線における攻撃コード 検知:インターフェース設計・実装 (2)ダークネット回線での評価環境 構築:設計・実装 (3)攻撃コードと脆弱性情報との関係 :分析項目の抽出 (4)攻撃コードの特徴抽出: 攻撃パターン抽出機能の設計・実装 (5)侵入行為分析: データベースの設計・実装 (6)上位拠点への報告: インターフェースの設計・実装 (7)未知の攻撃への対応: 遠隔 からのアップデート機能の設計・実装 マルウェア 検知エンジン (3) (4) 判定結果通知部 メールサーバー 不正コード監視部 (1)非実行可能形式マルウェアを対象とし、 検知エンジンの開発を行い、プロトタイプ の実装を行った。 (2)メールに添付されたファイルを検査 することができるメール検知部のプロト タイプの作成を行った。 (3)ユーザが提出したファイルを検査する ファイル検知部のプロトタイプの作成を 行った。 (4)検知した結果をメールで通知する プロトタイプの作成を行った。 (5)検知エンジンで、Packer等により暗号 化や圧縮が施されているマルウェアの 検知することを確認した。 【システム概要と処理フロー】 2 ②イ 階層拠点間の分散協調のための分析結果情報の匿名化・秘匿化技術 に関する研究開発の主な成果 分析実施主体の匿名化手法の研究開発 匿名化対象のシステム (試験用) パケット 分析エッジマネージャー (試験用) 各課題からの情報 情報抽出部 匿名化対象の情報のみ抽出 IDSの出力ファイル pcapファイル 分析実施主体の認証手法および 分析結果情報の秘匿化技術の研究開発 •IPアドレス •メールアドレス •URL •ポート番号 •その他の情報 認証技術の調査・要件抽出 情報秘匿化の調査・要件抽出 秘匿化通信路 プロトタイプ 改造版SSH 通信路秘匿化の調査・要件抽出 分析システム (試験用) 分析エンジン 匿名化されたデータ を基にインシデント分析 匿名化ライブラリ •匿名化したIPアドレス •匿名化したメールアドレス •匿名化したURL •匿名化したポート番号 •その他の情報(匿名化なし) 分析結果 匿名化手法を手動で評価 (1)従来の匿名化手法の調査と本イベント分析システムへの適合性について精 査し、必要な要件を抽出した。 (2)分析実施主体の匿名化すべき情報として、双方向のIPアドレスとポート番号 を想定し、パケット単位での匿名化手法を開発し、実装および評価を行った。 (3)IDSが出力する一定時間内のシステム全体のふるまいを記述したファイル単 位での匿名化手法を開発し、実装および評価を行った。IDSが出力したファイル 内に対し(2)と同様の手法により匿名化を行い、評価した。IDSファイルのうち、 本イベント分析システムが取り扱う情報に関しては匿名化可能であることを示し た。 (1)インシデント分析システムの特徴である地域に分散され階層化されたシステ ムに適応させうる認証手法を確立するための要件を抽出した。 (2)インシデント分析システムの各SOCで交換されるイベント情報について秘匿 化する際の要件を抽出した。 (3)耐障害性を検討し、可能な限り回線障害や各SOCのサービス・システムダウ ン、ハッキングなどが生じた場合においても、インシデント分析システム全体に 被害が発生しないもしくは、被害の範囲を限定しうる認証手法・管理手法の検討 を行った。 (4)pcapファイルの形式を想定し、匿名化手法を開発および実装し、評価を行っ た。 (5)(1)から(4)の結果を踏まえ、階層化、分散化を想定し、その環境での必要 要件を抽出した。階層化、分散化されている場合は、暗号鍵などの共有したい 情報をどのように共有する必要があり、これが要件の一つとして挙げられる。 3 ③ウ 階層拠点における分散協調型セキュリティオペレーションの基盤技術 に関する研究開発の主な成果 分散協調型セキュリティオペレーション の基盤技術に関する研究開発 システム基盤構築に関する研究開発 1.システム全体の 効果、配置を検討し、 要件を抽出 nicter システム 監視対象の システム トラフィック Mail/文書 ファイル 文書 ファイル 利用者 端末 セキュリティ監視 月次レポート 2009年2月度 (2009/02/01~2009/02/28) 拠点: XXXXXX 2.IPS 2.1.対処件数 (全インシデントと対処ステータス) 2.2.重要度別件数 (重要度別のインシデント対処件数) マクロ分析 システム 相関分析 システム ミクロ分析 システム システム 管理情報 アラート 詳細ログ 広域分散型 インシデント 分析システム 異常通知 匿名化 システム 匿名化・秘匿化 システム 認証・秘匿化 システム HW異常 観測センサID プロセス異常 ディスク異常 検知時間 通知種別 攻撃初期 挙動検知 のデータ スコア Webクローラ マルウェア 収集のデータ IP URL マルウェアHash 文書ファイル マルウェア 検知のデータ 1 3.送信元IPアドレス (Top10グラフ) (Top10リスト) 4.重要度別検知件数 (各日における重要度毎の検知件数) 5.対処件数(遮断等) (宛先IPアドレス・検知シグネチャ毎の件数) 攻撃コード 検知 システム 文書ファイル マルウェア 検知システム イベント 分析結果 アラート 詳細ログ 匿名化 システム 分析結果/ マルウェア セキュリティ オペレーション システム Webクローラ マルウェア 収集システム 認証・秘匿化 システム マルウェア 配布サイト 2.システムの関連、 機能、データ、インタ フェースを検討し、 システムのモデル化 3.評価環境を構築し、 モニタリングを実施 I-S OCセキュリティ監視レポート 2009年2月度 (2009/02/01~2009/02/28) 地域: XXXX XX 1.全体インシデント (重要度別インシデント件数リスト) (インシデント内訳グ ラフ) (通知済みインシデント内訳グ ラフ) (重要度別インシデント件数の推移グラフ:当月) (重要度別詳細インシデント件数リスト) (重要度別インシデント件数の推移グ ラフ:過去6ヶ月) (インシデント総数に対する通知済みインシデント割合の推移:過去6ヶ 月) (攻撃Top 10リスト:当月) 2.地域インシデント (重要度別インシデント件数リスト) (インシデント内訳グ ラフ) (通知済みインシデント内訳グ ラフ) (重要度別インシデント件数の推移グラフ:当月) (重要度別詳細インシデント件数リスト) (重要度別インシデント件数の推移グ ラフ:過去6ヶ月) (インシデント総数に対する通知済みインシデント割合の推移:過去6ヶ 月) (攻撃元IPアドレスTop10:当月) (攻撃Top 10リスト:当月) 3.地域インシデント詳細 (重大インシデントの毎の内容、分析結果、脅威、対象方法:当月) 4.地域対処件数・履歴 (分類別分析結果件数:当月) (分析結果一覧:当月) (分析結果毎の変更履歴) 4.レポートの検討を行い、 テンプレートを作成 5.地域補足 (デバイス 別ログ件数の推移リスト:過去6ヶ月) (ファイヤーウォール別ログ件数推移グ ラフ:過去6ヶ月) (IDS/IPS別ログ件数推移グ ラフ:過去6ヶ月) (ログ件数推移:過去6ヶ 月) 【レポートの検討】 【システムのモデル化】 分析結果間の相関解析に関する研究開発 1.情報体系を整理 1.解析事例の調査 2.状態通知、アラート、 詳細ログのプロトコル を策定 2.概況分析用ツール のカスタマイズ 認証情報 NW異常 シェルコード マルウェアバイナリ 攻撃コード 検知 のデータ 通知内容 SensorID=A1-12345 ObservationTime=1234623600 AlertID=134567897156 ContentOfNotification=“xxxを検知しました。” Score=100 ・・・(省略)・・・ 2.宛先IPアドレス (Top10グラフ) (Top10リスト) 3.2.重要度別件数 (重要度別のインシデント対処件数) 情報の定型化・共通化手法の研究開発 nicterシステム 2009年2月度 (2009/02/01~2009/02/28) 1.検知シグネチャ (Top10グラフ) (Top10リスト) 3.分析 3.1.対処件数 (全インシデントと対処ステータス) 1.システム基盤の構築に関する研究開発 2.情報の定型化・共通化に関する研究開発 3.分析結果間の相関解析に関する研究開発 検知・収集 システム xxxセンサ 月次サマリレポート 拠点: XXXXXX 対象デバイス: XXXXXXXX 1.ファイヤーウォール 1.1.対処件数 (全インシデントと対処ステータス) 1.2.重要度別件数 (重要度別のインシデント対処件数) 攻撃初期 挙動検知 システム フロー情報 マルウェアバイナリ セキュリティ オペレーション システム イベント リダイレクト 脆弱性情報 アラート 分析結果 マルウェアバイナリ 分析者所見 Mail属性 ファイル属性 レポート 参考情報 3.ログ収集ツールの プロトタイプを作成 3.分析結果情報の 一覧を作成 4.分析結果情報の 情報共有用プロト タイプを作成 【情報の整理とプロトコルの策定】 【ログ収集】 【ログ、分析結果の表示】 4 ④エ 課題ア~ウを実環境で有効に機能させるための実証実験 に関する研究開発の主な成果 課題ア~ウで確立した技術を統合した分散協調型システムを構築し、 機能性、性能、運用性などの評価を実施する。 課題: (1)インシデント分析システムの実用性、実現性の評価にあたり、 少なくとも6以上の地域エンド拠点(L-SOC)、2以上の地域分析 拠点(A-SOC)、及び1つの統合分析拠点(I-SOC)により構成する 実証実験の設置場所、実験構成に関して検討を行うこと。 22年度:実証実験環境構築(想定) ・統合分析拠点(I-SOC):1(関東) ・地域分析拠点(A-SOC):2(関東、関西) ・地域エンド拠点(L-SOC):6以上(関東2台、関西2台、 九州2台、東北1台程度を想定) <I-SOC> … L2SW FW-VPN <A-SOC> ⇒地域分析拠点(L-SOC)設置候補拠点への協力依頼、実証 実験の設置場所、実験構成に関する検討を実施。 実証実験に参加して頂くことによるメリットや準備して頂く事項 (電力、スペース等)について纏め、3団体に対して説明を行い、 1団体から参加の内諾を得た。 実験構成は、各拠点にファイア・ウォールVPN装置(FW-VPN) を設置し、それらを広域イーサネット網で接続することで、 実装形態を動的に変更・管理できるようにするとともに、 動的拡張性を確保する設計としている。 <A-SOC> … L2SW FW-VPN L2SW FW-VPN 100Mbps <L-SOC> 地域エンド拠点(L-SOC)の構成概略案 (2)インシデント分析システムの各研究課題の機能が、全体システム として有効に機能しているか機能評価に関して検討すると共に、 各分析拠点の実験構成に関する最適配置に関する基本設計の 検討を行うこと。 インターネットへ L-SOCの構築機器 TAP (3)インシデント分析システムが全体システムとして実用上十分な 性能であるかの性能評価、運用機能の最適配置分析評価など、 実用性の評価に関する基本的検討を行うこと。 ⇒課題(2)(3)について、各課題の機能モジュール(主に分析エ ンジン)の最適配置を評価するため、実装形態をあるレベルで 動的に変更・管理できる必要があることから、これらの動的な 要求事項を考慮しつつ、各機能検証、性能評価及び運用性評 価に関する基本的検討を行った。 … 広域イーサネット網 シェルコード 検出センサー ルータ FireWall Darknet センサー SW 匿名化、 秘匿化 モジュール 協力団体 のLAN スパムメール フィルタ 地域分析拠点へ ※L-SOCに設置する 機器は、協力団体の 負担となる要素 (電力、スペース等)を 考慮し、分析に不可欠 な情報の収集に必要 最小限の物に留める。 地域分析拠点(A-SOC) との通信経路は、広域 イーサネット網を候補と する。 5 1.これまで得られた成果(特許出願や論文発表等) 特許出願 論文 研究発表 報道発表 標準化提案 株式会社ラック 0件 0件 0件 0件 2件 財団法人九州先端科学技術 研究所 0件 4件 0件 0件 0件 株式会社セキュアウェア 0件 0件 0件 0件 0件 株式会社セキュアブレイン 0件 0件 0件 0件 0件 株式会社クリプト 0件 0件 0件 0件 0件 ジャパンデータコム株式会社 0件 0件 0件 0件 0件 KDDI株式会社 0件 0件 0件 0件 0件 0件 4件 0件 0件 2件 研究グループ計 6