| 題名 | ネットワーク不正侵入検知のためのイベント分析手法の検討 |
| 著者 | *水谷 正慶, 白畑 真, 南 政樹 (慶應義塾大学 政策・メディア研究科), 村井 純 (慶應義塾大学 環境情報学部) |
| Page | pp. 1155 - 1160 |
| Keyword | ネットワークセキュリティ, 侵入検知 |
| Abstract | インターネットを経由した不正侵入の試みは種類,数ともに増加の傾向にある.ネットワーク管理者が不正侵入に対応するためには,不正侵入を防ぐ技術の導入だけではなく,不正侵入の成功や,不正侵入事件の進行を早急に検知するための技術(不正侵入検知技術)の導入が不可欠である.しかし,現状の不正侵入検知技術ではネットワーク管理者が必要とする知識・経験の多さや,運用のための負担が大きいことから,適切な運用が難しい.
ネットワーク管理者による不正侵入検知技術は2段階に分けられる.まず,ネットワークトラフィックやネットワーク上の各機器から,不正侵入に関連する可能性のあるイベントの情報を収集する.例としてFirewallや,ネットワーク型侵入検知システム(IDS),サーバのログが挙げられる.その後,ネットワーク内で得られたイベントを全て収集し,分析する.収集されたイベントは1つずつでは攻撃者の意図や,実際に発生している状況を判断するのが難しい.そのため,収集されたイベントを関連づけしあい,具体的にどのような状況が発生しているかを判断する.また,複数のイベントを関連づけすることで,ネットワーク管理者が注目するべき事象を集約する役割も果たしている.
本論文では,後半のイベントの分析における問題に焦点をあてる.現在の主要なイベント分析手法は状態遷移のモデルを構築し,モデルにあてはまるイベント同士に相関関係があると判断する.状態遷移のモデルはあらかじめ定義したルールをもとにする.状態遷移による分析はモデル通りにイベントが発生した場合は極めて効果的であるが,不正侵入検知においては予想された順序に従って不正侵入が発生しない場合が多い.例えば,攻撃者はサービスやホストの探索,脆弱性を利用した攻撃,権限の昇格の順番で不正侵入を試みるため,そのようなモデルを構築する分析がある.しかし実際には,脆弱性を利用した攻撃のみや,サービスやホストの探索のみなど,様々な状況が発生しており,多様な状態遷移を示すルールを作成するのは困難である.また,発生するイベントの種類も多様化している.特にIDSが発見するイベントは攻撃の多様化に伴い種類が急増している.オープンソースのIDSであるSnortでは2007年3月現在,公式に配布されているルールだけでも約15,000件ある.全てのイベントに対して状態遷移を定義するのは難しい.そのためネットワーク管理者が不正侵入の成功や進行を検知する負担を軽減に繋がりにくい.
この問題を解決するために,本論文ではイベントを関連づけするための柔軟なルールを提案し,ネットワークで発生している状況を的確に判断するための手法を検討する.本手法の特徴として,各イベントの時間間隔や送信元,送信先IPアドレス,イベントの種類などで関連づけした後に,関連づけで利用した以外のパラメータの変化に着目する点である.これは先述した状態遷移とは異なり,変化の順序は問わない.例えば,ある送信元IPアドレスと送信先IPアドレスをキーとして関連づけし,イベントのクラスタを作成する.このクラスタのイベントが常に同じ種類なのか,あるいは全て異なる種類のイベントかによってでも,状況が異なる.常に同じ種類のイベントであれば,同じ攻撃を繰り返しても無意味なため,悪意のあるイベントではないと判断できる.全てが異なるイベントの場合は,様々な攻撃を試行している可能性が高く,危険性が高い.他にも,Webページに対する攻撃を送信元IPアドレスをもとに複数のイベントをクラスタ化した後,送信先IPアドレスと攻撃内容の変化を調べる.多数の送信先IPアドレスに送信しており,かつ攻撃内容が変化していない場合は,ワームによる無差別な攻撃が予想される.あるいは,送信先IPアドレスが変化せずに,攻撃内容が変化を続けている場合は,対象ホストの脆弱な箇所を調査しながら攻撃している可能性がある.
本研究は複数のイベント情報から,状況を適切に判断するための手法の確立を目的としている.これにより,ネットワーク管理者が注目すべき情報が大幅に削減できることが期待される.また,状況を適切に判断することで,ネットワーク上のリスク分析にも応用できると期待する. |