今までの研究成果及び NOVEL プロジェクトでの 今後の展望

1. 今までの研究成果及びNOVELプロジェクトでの　　　　　　　　　　　　　今後の展望今までの研究成果及びNOVELプロジェクトでの　　　　　　　　　　　　　今後の展望 政策・メディア研究科一年 直江健介(naoe@sfc.keio.ac.jp)

2. 所属 • ニューラルネットワーク • 武藤研究会セキュリティ班INAS • 既存の侵入検知システム • ネットワークトラフィックの可視化 • ウイルス • カーネルセキュリティ • 新しいネットワーク侵入検知システムの開発

3. 新しい侵入検知システム • クラスタ分析手法を用いたIDS • 分散型侵入検知システム（DIDS)

4. セキュリティの現状 • PCユーザの増加 • ウイルスによる被害の増加、最近は減少傾向 • 常時接続のインフラやサービスが充実 • SOHOや家庭内LANなどの小規模ネットワーク • 今まで以上、リアルタイムに不正アクセスを検出したい （図　IPAから）

5. 侵入の検出 侵入失敗の検出 IDSによる通知 環境と脅威に応じた動的（能動的）な防御 IDSの位置付け

6. 不正侵入・不正アクセスの　　　　　　　　　具体的な行動の流れ不正侵入・不正アクセスの　　　　　　　　　具体的な行動の流れ

7. 侵入検知システム（IDS）とは？ • IDSの種類 • ネットワークベース • ホストベース • 検出方法 • 不正検出 • 異常検出

8. 新しい侵入検知システム • クラスタ分析手法を用いたIDS • 分散型侵入検知システム（DIDS)

9. 既存IDSの問題点と課題 • ネットワークベースIDSの欠点 • シグネチャの管理が大変なため安定した運用が難しい • 未知の攻撃手法に対して脆い • ネットワーク負荷がかかる • NIDS/HIDS両方の欠点（根源的な問題） • ホストが落とされたら終わり • SshやVPNなどの暗号化された監視が不可能

10. 異常検出アルゴリズムを用いればできる？？ アイデア • 他のIDSが取りこぼす攻撃を検出できるIDSを開発したい！ • 未知の攻撃に対しても反応したい！

11. ADが敬遠されてきた理由 • 誤警報率が高い • プロファイルの作成が大変 • 正常の定義が困難

12. 関連研究・関連IDS • 「ネットワークトラヒックのクラスタリングによる侵入検出手法に関する研究」 • SFC修士論文　磯崎宏氏 • 「侵入検知に関するレポートでは長期プロファイルと短期プロファイルを比較する統計的異常解析手法」 • 沖電気研究開発　武内春夫氏、福士賢二氏

13. INASの開発するNIDS • 用いる技術　ー　クラスタ分析を用いた異常検出 • 異常検出のアルゴリズム • 統計的手法、ルールベース、ニューラルネットワーク、クラスタ分析 • 正規化＞距離を測る＞判別 • クラスタリング手法：k-平均法、マキシマムニューラルネットワークモデル、kohonenモデル • 判別手法：ユークリッド距離、マハラノビス距離

14. クラスタ分析（分類検出の利点） • 属性間の関係を調査する事が可能 • 各攻撃手法を検出する為の効果的な属性に関する背景知識を持つ必要が無い • 要するに経験的にやらなくてはいけなかった不正検出法と違いこのクラスタ分析による異常検出法は予備知識を必要としない＝未知の攻撃にも対応可能

15. 新しい侵入検知システム • クラスタ分析手法を用いたIDS • 分散型侵入検知システム（DIDS)

16. 作成しようとするDIDSとは？ • 検出部分のセンサと制御部分のマネジャを一括。ログ、シグネチャ、プロファイルなどの検出に必要なDBを分散配置 • 攻撃手法や不正アクセスのパターンを蓄積、学習 • 異常検出のアルゴリズムも採択することで誤警報率を抑制 • シグネチャと攻撃手法、不正行為とプロファイルの比較を高速化（メタデータを生成）

17. 嬉しいことは？ • 一つ一つのマシンでの処理は減る • ネットワーク全体としてみたときに連携力があり堅牢になる • PCユーザで管理可能 • パーソナルFWに取って代わる？ • ユーザが多ければ多いほどデータが取れる • ユーザレベルで定義ファイルを作成、UP

18. イメージ図

19. しかし今の興味は • 無線ネットワークの脆弱性について

20. Wireless Securitythe vulnerability of WEPandapplicating IPsec to wireless systems

21. ワイヤレスネットワーク • インフラが整っていない • 通信速度が遅い • セキュリティを気にして・・・ • 値段が高い • 通信機器の速度向上 • ノートPC、PDAなどのモバイル端末の普及 • IEEE802.11b規格>11Mbps,2.4GHz • 値段もそこそこ

22. IEEE802.11シリーズのセキュリティ • SS-ID(or Extended Service Set IDentifier) • 32byte以内　–ユーザが自由に設定 • WEP • MACアドレスフィルタリング

23. WEPとは？ • Wireless Equivalent Privacy • 暗号化形式はRC4 • 鍵長は64bit/128bit • 40bit secret key plus 24bit IV • 104bit secret key plus 24bit IV • IV(Initialization Vector) • 毎回変化する部分 • 実際にユーザが入力するのは40bit/104bit • 英数字に直すと５文字/13文字

24. イメージ図

25. もっと分かりやすく（ないかも）

26. RC4の欠陥 • Weaknesses in the Key Scheduling Algorithm of RC4 • Scott Fluhrer,Itsik Mantin,Adi Shamir • 主にIVの仕様欠陥 • IVデータスペースが24bitしかない • 5Mbpsのネットワーク・アクセス・ポイントで24ビットで可能な組み合わせのパケットが半日たらずで全部通過する • IEEE802.11規格ではIVが毎パケット違わなくてもよい

27. 今までどうしていたのか？ • WEPすらもしていないところがほとんど • 実際ワイヤレスネットワークをサービスと提供しているところはWEPを使いIPsecと絡めることで堅牢なものにしていた。

28. IPsecとは？(1) • IPプロトコルのセキュリティ機能の弱さ • IPにセキュリティを持たせよう • IPsecver1RFC1825~RFC1829（1995.8） • ProposedStandard IPsec version2 • RFC2401~2451(1998.11)

29. IPsecとは？（２） • 特徴 • ネットワーク上の機密性を確保 • ネットワーク上の完全性を確保 • データの送信元を認証できる • 標準プロトコル（IETF) • 将来性（IPｖ６、IPｖ４） • アルゴリズムの選択の柔軟性 • IPによる通信をすべて保護 • VPNを構築可能 • エンドユーザに透過的

30. IPsecとは？（３） • 機密性(ESP:Encapsulating Security Payload) • パケット単位で暗号化 • 認証(AH:Authentication Header) • パケット単位でsrcの認証 • 完全性(AH,ESP) • パケット単位で改ざんのチェック • IP層で実現しているため上位層に透過的にセキュリティを提供

31. WEPを破るツール • AirSnort • 2001.8.2 • Using the Fluhrer, Mantin, and Shamir Attack to Break WEP • 128bitの鍵長で暗号化した通信をおよそ2時間

32. 新しい暗号手法 • RSA社、Hifn社(2001.12.1) • 高速パケット･キー設定(fast packet keying) • データの各パケットを異なった鍵で暗号化できる • IEEEによって802.11standardの追加修正として承認 • WEP2 • 128ビット暗号、WEPと下位互換性あり • 128bitのIV • ほとんどのレガシーハードウェアに対応

33. 結論 • ワイヤレスネットワークはAPからはインターネットと同じ。 • APまでの通信もWEPを使ってるだけでは不十分

34. セキュリティが注目されるとき • 破られたとき • 普段通りに運用していると存在は希薄

35. 今後取り組むべき課題 • 実際にツールを使いWEPを破る実証実験 • セキュリティ技術・知識の啓蒙 • IDS開発