Comments
Description
Transcript
グ プ グ IDSログのサンプリングによる解析
2010年度 卒業論文 IDSログのサンプリングによる解析 グ プ グ Analysis of IDS log data by sampling 2011/02/03 早稲田大学 早稲 大学 基幹理工学部 基幹理 学部 情報理工学科 情報理 学科 後藤研究室 学士4年 1w070308-8 関島 達矢 Agenda 1. 研究背景 2. 研究目的 3. 提案手法 4 実証実験 4. 5. 結論 2011/02/03 卒論審査会 2 研究背景 インタ ネットが普及し、不正な通信が増えている。 インターネットが普及し、不正な通信が増えている。 大量の ログ発生 ・大部分のログは不要 ・必要なログは少数 ------------------------------------- ファイアウォール IDS ログ解析に手間がかかる 2011/02/03 卒論審査会 3 研究背景(アラート件数) 同種類のアラ トが非常に多い 同種類のアラートが非常に多い 無駄 12551個が同種アラート(17905個中) 個が 種 ( 個中) 21000 アラート ト数 18000 15000 12000 9000 6000 3000 0 0 2011/02/03 100 200 300 400 分 卒論審査会 500 600 700 800 11月21日 10:00:00~21:59:59 早稲田学内学外のゲートウェイにて 4 研究目的 z z 不要なログが大量で、解析に手間がかかる 不要なログが大量で 解析に手間がかかる 同種類のアラートが多い 運用コストが高くなり、効果的なIDSの運用が難しくなる 不要なログを減らしてログ解析を効率化 2011/02/03 卒論審査会 5 5 パケットサンプリング ×1 ×2 1/2でサンプリング ×3 実際のパケット数 2倍で個数を元に戻す ×0 ×2 ×4 数の少ないものは消える 2011/02/03 卒論審査会 数の多いものに偏る 6 提案手法(ログサンプリング) IDS 不正な通信+正常な通信 ログ ------------- ------------- ------------- ------------- ------------- ------------- ------------- ------------- ------------- ------------- ------------- ------------- IDSのログを サンプリング 2011/02/03 卒論審査会 7 提案手法(パケットサンプリング) ログ IDS パケットデータを サンプリング ------------- ------------- ------------- ------------- ------------- ------------- ------------- ------------- ------------- ------------- ------------- ------------- ------------- ------------- ------------- ------------- ------------- ------------- IDS 2011/02/03 卒論審査会 8 実証実験 1. パケットデータをサンプリング ¾ ¾ ログサンプリング パケットサンプリング ケッ リ グ 5分毎のアラート数の分布を調べる 3 異常部分を異常とみなせるか評価 3. 2. ¾ 標準偏差 異常とみなせない場合 異常とみなせる場合 異常のある部分に異常を警告する アラートが残っているか確認 サンプリングレ トを小さくして サンプリングレートを小さくして 繰り返し行う 2011/02/03 卒論審査会 9 サンプリングによるアラート数の変化 サンプリングなし 1/1024 1/4096 ばらつきが大きく 異常とみなせなくなる 2011/02/03 卒論審査会 10 評価方法 異常 平均 μ 分散 σ の正規分布 規分布 2 平均 分散を求める 平均・分散を求める 信頼区間上限を計算 μ − 2 .5758 σ μ − 2σ μ μ + 2σ μ + 2 .5758 σ 信頼係数:0.99 2011/02/03 卒論審査会 信頼区間 11 実験に用いたデータ アラート数 日時 11月17日 18:00:00~11月18日05:59:59 合成前 合成後 3267965 3407709 11月21日 10:00:00~21:59:59 874543 11月22日 10:00:00~21:59:59 10 00 00 21 59 59 1523901 ハニーポットの通信 ((11月9日11:44:53~23:21:36) 月 日 ) 2011/02/03 卒論審査会 12 実験結果(11月21日) サンプリングレート500前後までは異常を異常とみなしている 2011/02/03 卒論審査会 13 実験結果(11月21日) 全てにD S攻撃アラ トが残 ている 全てにDoS攻撃アラートが残っている 1/640 2011/02/03 卒論審査会 14 結果のまとめ 異常を異常とみなせなくなったときのサンプリングレート 実験 ログサンプリング パケットサンプリング 1 1/3800 1/3500 2 1/750 1/1000 3 1/750 1/500 アラート数 実験 サンプリング前 ログサンプリング パケットサンプリング 1 3267865 883 986 2 874543 1147 810 3 1523901 1975 2959 見るべき グをかなり削減できた 見るべきログをかなり削減できた 2011/02/03 卒論審査会 15 サンプリングの種類による差異 35 30 ア アラート数 25 20 15 10 5 0 ログ パケット ログ パケット POP3 PCT WEB-MISC PCT Client_Hello overflow Client_Hello overflow attempt attempt 2011/02/03 ログ パケット (portscan) UDP Portscan 卒論審査会 ログ パケット (portscan) UDP Decoy Portscan 16 サンプリングの種類による差異 200 180 160 140 アラー ート数 120 100 80 60 40 20 0 ログ パケット POP3 PASS format f string attempt 2011/02/03 ログ パケット ((spp_frag3) f 3) Teardrop T d attack ログ パケット ((portscan)) TCP Portsweep 卒論審査会 ログ パケット ((portscan)) TCP Portscan 17 結論 サンプリングにより不要な通信を削減できた 異常な通信は残ったままであった • • ログ解析においてサンプリングは グ解析 お プ グ 1次フィルタとしての役割を果たす 今後の課題 • • • サンプリングレートとデータの相関性を調べる データ数を増やす 複数のサンプリング方法を試す 2011/02/03 卒論審査会 18 ご清聴ありがとうございました 2011/02/03 卒論審査会 19 補足資料 読んだ論文(1) z 磯崎裕臣,阿多信吾,岡育生, サン リング サンプリングフローの差分情報を用いたフロー分布の推定, 差分情報を用 分布 推定, 電子情報通信学会,2006. z 川原亮一,森達哉,滝根哲哉,浅野正一郎, サンプルパケット情報を用いたトラヒック測定分析手法, サンプルパケット情報を用いたトラヒック測定分析手法 インターネット性能評価の新潮流,Jun 2008. z 川原亮一,森達哉,原田薫明,上山憲昭,近藤毅,石橋圭介, 異常トラヒ ク測定分析手法 異常トラヒック測定分析手法, NTT技術ジャーナル,Mar 2008. z 中田健介,高倉弘喜,岡部寿男, IDS警報の解析による第三者機関への攻撃状況の把握手法, 電子情報通信学会.IEICE,pp.25-30,2009. z 斎田佳輝,森島直人,砂原秀樹, 斎田佳輝 森島直人 砂原秀樹 サンプリング計測におけるトラフィック傾向把握手法の提案, 第47回プログラミングシンポジウム,Jan 2006. 2011/02/03 卒論審査会 21 読んだ論文(2) z 三宅優, 高速ネットワ クにおけるセキュリティ監視の現状と課題, 高速ネットワークにおけるセキュリティ監視の現状と課題, 情報処理学会論文誌,Mar 2007. z 水谷正慶,白畑真,南政樹,村井純, Session Based IDSの設計と実装, IDSの設計と実装 電子情報通信学会論文誌,No.3,pp.551-562 2005. z 縄田秀一,内田真,Yu Gu,鶴正人,尾家祐二, 時間周期的パケ トサ プリ グによる教師なし 時間周期的パケットサンプリングによる教師なしアンサンブル異常検出法, サ ブ 異常検出法 九州工業大学大学院情報工学府情報システム専攻 修士論文,2009. z 山本真理子, 侵入検知システムを用いた動的ファイアウォールの実装, 筑波大学大学院博士課程システム情報工学研究科修士論文,Jan 2006. z 竹森敬祐,三宅優,中尾康二,菅谷史昭,笹瀬厳 竹森敬祐 三宅優 中尾康二 菅谷史昭 笹瀬厳 Security Operation CenterのためのIDSログ分析支援システム 電子情報通信学会論文誌 2011/02/03 卒論審査会 22 IDSとファイアウォール ファイアウォールでは 捕まえ切れないワー ムや不正侵入を防御 大量の ログ発生 ------------------------------------- IDS ファイアウォール ルールに合わない 通信を遮断 2011/02/03 卒論審査会 23 パケットサンプリングの種類 z ランダムサンプリング z z z nパケットごとに1パケット抽出 ランダム確率により / の割合でパケ ト抽出 ランダム確率により、1/nの割合でパケット抽出 時間周期的サンプリング z z 一定時刻tで区切り、そのtの間の始めのパケットを抽出 時間間隔 t i(可変)で区切り、その t i の間の始めのパケット を抽出 ランダムサンプリングにくらべ、時間周期的サンプリングの方 ランダムサンプリングにくらべ 時間周期的サンプリングの方 が、バースト的に発生する事象を無視する傾向にある ⇒高い割合で数の多いパケットをサンプリングできる 2011/02/03 卒論審査会 24 ハニーポットのアラートの数(元) 28 18 9 77 748 BAD‐TRAFFIC tcp port 0 traffic ICMP PING NMAP ICMP redirect host C di h ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibited (portscan) TCP Portsweep 2011/02/03 卒論審査会 25 IDSフィルタの設定(パラメータ) z 1種類のアラートの中で、同じ送信元IPアドレス が多 が多い 送信元IPアドレス 送信先IPアドレス 2011/02/03 アラートの種類 卒論審査会 26 パケットサンプリングの種類 w サン リング計測手法 サンプリング計測手法 時間周期的サンプリング 一定時間間隔 定時間間隔 ランダム時間間隔 t i (ある期待値を持つ指数分布) t ランダムサンプリング 等間隔にサンプリング ランダム確率でサンプリング 特定のものをサンプリング 2011/02/03 確実に正常と判断できるものを狙って取り出す 卒論審査会 27 正規分布表 Z 1.3 1.4 1.5 1.6 1.7 1.8 1.9 2.0 2.1 2.2 2.3 24 2.4 2.5 0 .4032 .4192 .4332 .4452 .4554 .4641 .4713 .4772 .4821 .4861 .4893 .4918 4918 .4938 0.01 .4049 .4207 .4345 .4463 .4564 .4649 .4719 .4778 .4826 .4864 .4896 .4920 4920 .4940 0.02 .4066 .4222 .4357 .4474 .4573 .4656 .4726 .4783 .4830 .4868 .4898 .4922 4922 .4941 0.03 .4082 .4236 .4370 .4484 .4582 .4664 .4732 .4788 .4834 .4871 .4901 .4925 4925 .4943 0.04 .4099 .4251 .4382 .4495 .4591 .4671 .4738 .4793 .4838 .4875 .4904 .4927 4927 .4945 0.05 .4115 .4265 .4394 .4505 .4599 .4678 .4744 .4798 .4842 .4878 .4906 .4929 4929 .4946 0.06 .4131 .4279 .4406 .4515 .4608 .4686 .4750 .4803 .4846 .4881 .4909 .4931 4931 .4948 0.07 .4147 .4292 .4418 .4525 .4616 .4693 .4756 .4808 .4850 .4884 .4911 .4932 4932 .4949 0.08 .4162 .4306 .4429 .4535 .4625 .4699 .4761 .4812 .4854 .4887 .4913 .4934 4934 .4951 0.09 .4177 .4319 .4441 .4545 .4633 .4706 .4767 .4817 .4857 .4890 .4916 .4936 4936 .4952 全体の0 99(99%)を信頼区間としたときの の値=2 58 全体の0.99(99%)を信頼区間としたときのzの値=2.58 2011/02/03 卒論審査会 28 信頼区間 z サンプルを取り出したとき、ある確率で入ることの出 サンプルを取り出したとき ある確率で入ることの出 来る区間 μ − z σ ≤ μ ≤ μ + zσ μ − zσ 2011/02/03 μ + zσ 卒論審査会 29 サンプリング後のアラート数(11月21日) 2011/02/03 卒論審査会 30 サンプリング後のアラート数(11月22日) 2011/02/03 卒論審査会 31 Snortのルール z alert tcp $EXTERNAL_NET any <> $HOME_NET 0 (msg:"BAD-TRAFFIC tcp port 0 traffic"; flow:stateless; classtype:misc-activity; sid:524; rev:8;) z alert udp $EXTERNAL_NET !53 <> $HOME_NET !53 (msg:"COMMUNITY DOS Single-Byte UDP Flood"; content:"0"; dsize:1; classtype:attempteddos;threshold: type threshold, track by_dst, count 200, seconds 60; sid:100000923; rev:1;) z alert tcp any any -> any any (msg:"COMMUNITY BOT IRC Traffic Detected By Nick Change"; flow: to_server,established; content:"NICK "; nocase; offset: 0; depth: 5; flowbits:set,community_is_proto_irc; flowbits:noalert yp y sid:100000240; rev:3;)) classtype:misc-activity; z alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"COMMUNITY BOT Internal IRC server detected"; flow: to_server,establ ished; flowbits:isset,community_is_proto_irc; classtype: policy-violation; sid:100000241; rev:2;) z alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 443 (msg:"WEB-MISC PCT Client_Hello overflow attempt"; flow:to_server,established; flowbits:isnotset,sslv2.server_hello.request; flowbits:isnotset,sslv3.server_hello.request; flowbits:isnotset,tlsv1.server , _hello.request; q ; content:"|01|"; | | ; depth:1; p ; offset:2;; byte y _test:2,>,0,5; , , , ; byte_test:2,!,0,7; byte_test:2,!,16,7; byte_test:2,>,20,9; content:"|8F|"; depth:1; offset:11; byte_test:2,>,32768,0,relative; reference:bugtraq,10116;reference:cve,2003-0719; reference:url,www.microsoft.com/technet/security/bulletin/MS04-011.mspx; classtype:attemptedadmin; sid:2515; rev:13;) 2011/02/03 卒論審査会 32 実験に用いたデータ(ハニーポット) 2011/02/03 卒論審査会 33 実験結果(11月17日) サンプリングレート3000前後までは異常を異常とみなしている 2011/02/03 卒論審査会 34 実験結果(11月17日) 全てにD S攻撃アラ トが残 ている 全てにDoS攻撃アラートが残っている 1/3072 2011/02/03 卒論審査会 35 実験結果(11月21日) サンプリングレート500前後までは異常を異常とみなしている 2011/02/03 卒論審査会 36 実験結果(11月21日) 全てにD S攻撃アラ トが残 ている 全てにDoS攻撃アラートが残っている 1/640 2011/02/03 卒論審査会 37 実験結果(11月22日) サンプリングレート500前後までは異常を異常とみなしている 2011/02/03 卒論審査会 38 実験結果(11月22日) 全てにDoS攻撃アラートが残っている 1/768 2011/02/03 卒論審査会 39 サンプリングの種類のよる差異 COMMUNIT Y BOT Internal IRC server detected POP3 PCT Client_Hello overflow attempt WEB-MISC PCT Client_Hello overflow attempt p (portscan) UDP Portscan POP3 PASS format string attempt ((portscan) t ) UDP Decoy Portscan ログ ログ ログ ログ ログ パケット ログ パケット パケット パケット パケット パケット 16 156 0 36 0 44 3 44 4 40 5 37 3 32 85 0 26 2 23 0 29 1 18 4 23 0 64 47 0 14 2 9 0 12 0 10 2 10 0 128 30 0 10 0 6 1 7 0 5 1 3 0 256 15 0 4 0 4 0 3 0 3 0 1 0 512 6 0 4 0 4 0 2 0 2 0 0 0 1024 4 0 4 0 2 0 4 0 4 0 0 0 1280 1 0 0 0 0 0 1 0 2 0 0 0 1536 3 0 0 0 2 0 1 0 0 0 0 0 2011/02/03 卒論審査会 40 サンプリングによって減少の仕方が異なったアラート z z z z z z z z z COMMUNITY BOT Internal IRC server detected POP3 PCT Client_Hello overflow attempt WEB-MISC PCT Client_Hello overflow attempt (portscan) UDP Portscan¥end{verbatim} POP3 PASS format stringg attempt p (portscan) UDP Decoy Portscan ((spp pp_frag3) g ) Teardrop p attack¥end{verbatim} { } (portscan) TCP Portsweep (portscan)) TCP Portscan (p 2011/02/03 卒論審査会 41 ボットを警告するルール alert tcp any any -> any any (msg:"COMMUNITY (msg COMMUNITY BOT IRC Traffic Detected By Nick Change"; Change ; flow: to_server,established; content:"NICK "; nocase; offset: 0; depth: 5; flowbits:set,community_is_proto_irc; flowbits:noalert; cclasstype:misc-activity; ass ype sc ac v y; ssid:100000240; 00000 0; rev:3;) ev 3;) alert tcp $EXTERNAL_NET any -> $HOME_NET any g BOT Internal IRC server detected"; (msg:"COMMUNITY flow: to_server,established; flowbits:isset,community_is_proto_irc; classtype: policy-violation; sid:100000241; rev:2;) 2011/02/03 卒論審査会 42