パケットモニタリングを用いた感染端末検出のためのトラフィック分析に関する研究
Project/Area Number |
21K11889
|
Research Category |
Grant-in-Aid for Scientific Research (C)
|
Allocation Type | Multi-year Fund |
Section | 一般 |
Review Section |
Basic Section 60070:Information security-related
|
Research Institution | Kyushu Institute of Technology |
Principal Investigator |
中村 豊 九州工業大学, 情報基盤センター, 教授 (40346317)
|
Project Period (FY) |
2021-04-01 – 2024-03-31
|
Project Status |
Granted (Fiscal Year 2022)
|
Budget Amount *help |
¥4,160,000 (Direct Cost: ¥3,200,000、Indirect Cost: ¥960,000)
Fiscal Year 2023: ¥780,000 (Direct Cost: ¥600,000、Indirect Cost: ¥180,000)
Fiscal Year 2022: ¥1,430,000 (Direct Cost: ¥1,100,000、Indirect Cost: ¥330,000)
Fiscal Year 2021: ¥1,950,000 (Direct Cost: ¥1,500,000、Indirect Cost: ¥450,000)
|
Keywords | パケットキャプチャ / 内部通信 / 異常検知 / ラテラルムーブメント / パケットモニタリング |
Outline of Research at the Start |
本研究では標的型攻撃を受けた一次被害端末の防御を100%実施できないことを前提に、ウイルス感染後通信挙動、具体的にはC&C通信、ボットダウンロード、ラテラルムーブメント等に着目し、二次被害端末を特定するための分析手法を提案する。
|
Outline of Annual Research Achievements |
本研究で提案する二次被害特定のためのトラフィック分析は申請者らの独自の手法である.一次被害端末を検出するための製品やサービスは数多く存在するが,一次被害端末が生成す るトラフィックを分析し,二次被害端末の特定,調査を行う研究は行われていない.特に内部拡散に用いられるラテラルムーブメントにおいて,内部ネットワークでどの端末が侵害を受けたかを分析することは,これまで非常に困難であった.これはラテラルムーブメントの通信を検知したとしても,その通信で内部拡散に成功したかどうかの成否を判定してこなかったからである.また,内部ネットワークの計測自体が非常に高コストで困難であった.しかし我々は大規模環境向けフルパケットキャプチャツールであるArkimeを用いることで比較的低価格なサーバでキャンパスネットワークのキャプチャシステムの構築に成功した. ArkimeではパケットキャプチャだけでなくElasticsearchを用いたセッション情報を取得することができる.このセッション情報を分析することで内部ネットワークにおける通信状態を把握することが可能となる.本研究ではArkimeが生成するセッション情報を分析することでラテラルムーブメント発生時の拡散の成否について判定するための手法について検討する.具体的には内部スキャン通信を検知した際,それらのセッションの特徴を分析し,「スキャンの検出」「サービスの検出」「端末への侵害」と3段階の分類を行い,二次被害端末の特定を行う. 令和4年度では令和3年度に構築したArkimeを用いた計測環境を用いて二次被害端末の特定手法について調査を進めた.
|
Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
令和4年度では令和3年度での分析に基づいてラテラルムーブメントを受診した端末が2次被害を受けて侵害されているかどうかの分析を進めていく. 一次被害端末が生成するスキャン通信には,以下の3つのパターンが考えられる.(a) 二次被害端末にサービスが立ち上がっていないため,SYNパケットのみの場合「スキャンの検出」と呼ぶ.(b) 二次被害端末にサービスは立ち上がっているが,接続に失敗している場合「サービスの検出」と呼ぶ.(c) 二次被害端末にサービスが立ち上がっていて,接続に成功している場合「端末への侵害」と呼ぶ.通常の通信およびラテラルムーブメントに成功した通信は(c)であるため,セッション単体での識別は困難である.従って,(a)から(c)へ状態遷移した場合が一時被害端末から二次被害端末へ拡散が成功していると考えられ,CSIRTによる二次被害端末の分析対象ホストとなると考えられる. 令和4年度ではデータの自動取得環境の構築行い,上記のアルゴリズムについて検証を進めた.今後はパケット再現ソフトウェアを用いたシステムの可用性について検討を進めていく予定である.
|
Strategy for Future Research Activity |
令和5年度ではArkimeで蓄積したpcapファイルに対して,パケット再現ソフトウェアを用いて再生することで,スキャン検知に関する調査を進める.再現ソフトウェアがパケット送信をタイムスタンプ通りに行わないため,スロースキャンが縮退して現れることが考えられる.攻撃者はスキャンを検知させないためにスロースキャンを行うが,再現ソフトウェアを用いることで,これらを検出できる可能性が高い.したがって,再現ソフトウェアを用いた場合の検知アルゴリズムについて,検証することが必要となる.しかしながら,リアルタイムで計測した場合の検知指標と再現ソフトウェアを用いた場合の検知指標は異なることが予想できるため,これらについての考察が必要になると思われる.さらに他組織のpcapファイルを用いて再現することが可能となるため,可用性が非常に高まると言えるが,機微情報の取り扱いについては十分中する必要がある.
|
Report
(2 results)
Research Products
(2 results)