(邦訳:ネットワークインシデント対応のためのトラフィック分析に関する研究)
| 溝口 誠一郎 KDDI(株) |
[背景]インターネットを脅かすボットネットの拡大
[問題]ボットネットが引き起こすネットワークインシデント把握のためのトラフィック分析技術の確立
[貢献]ボットネットのスキャン攻撃分析,ならびにボットネット制御通信の検知手法提案
インターネットには,分散サービス不能攻撃や,脆弱なホストを探索するネットワークスキャン攻撃など,さまざまな脅威が存在する.これらの脅威のプラットフォームとなっているものがボットネットである.ボットネットは,ボットと呼ばれる悪性プログラムに感染したホスト群がネットワークを構成したものであり,攻撃者から命令を受け取ることで攻撃活動を開始する.このようなボットネットの活動を把握し対策をとることは重要な課題である.
図1 ボットネット=脅威のプラットフォーム
ボットネットを構成するボットが引き起こす脅威への対策には,それらが引き起こす問題事象であるネットワークインシデントを分析し,対応する必要がある.本研究のゴールは,ボットネットが引き起こすネットワークインシデント対応のためのネットワーク観測技術,ならびにボット発見のためのトラフィック分析技術の確立である.
図2 本研究で取り組む課題
本研究では,次の3点について取り組んだ.第1に,未割当のIPアドレスを用いた攻撃パケットの観測網であるダークネットにおいて,そこで観測されるトラフィックの特徴を新たな視点から分析した.本研究では,実運用に供されているネットワーク内に点在する未割当IPアドレスを用いた新たなダークネットを構成し,従来の連続した未割当アドレス空間を用いた構成によるダークネットの観測結果と比較することで,従来構成では見られない特徴を持った攻撃があることを示した.
第2に,ハニーポットと呼ばれるおとりネットワーク端末を,実運用に供されているネットワーク中に動的に挿入する機構を考案した.これにより,従来の静的アドレス割当では対応できない,接続ホスト数が動的に変化するようなネットワークにおいてもハニーポットを用いた観測点を増やすことができる.その結果,より多くの攻撃トラフィック観測を実現でき,ボットネットの活動把握に貢献できる.
第3に,ボットに感染したホストを,それが送出するパケットの生起間隔の解析により発見する手法を考案した.従来,ホストが送信するメッセージ内容の精査や,そのサイズに着目した手法が提案されていたが,攻撃者が行い得る暗号化やパディング等の回避策に対しては脆弱であった.本研究では,ホストが送出するトラフィックの特徴から,その通信を行なっている主体が人間による操作であるか,プログラムにより機械化された操作であるかを判定することにより,ボットを検知する手法を提案した.さらに,実ネットワークにおいて観測されたインターネット・リレイ・チャットプロトコルを制御チャネルにもちいるIRCボットのトラフィックと,人間の操作によるIRCアプリケーションの通信を用いて提案手法を評価し,誤検知を低減しつつも見逃すことなくボット検知を行えることを示した.
(2013年7月22日受付)