2014 Fiscal Year Research-status Report
DNSオープンリゾルバを悪用した増幅攻撃に対する検知手法と動的防御システムの確立
| Project/Area Number |
26330101
|
|---|
| Research Institution | The University of Tokyo |
|---|
Principal Investigator |
関谷 勇司 東京大学, 情報基盤センター, 准教授 (30361687)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
石原 知洋 東京大学, 総合文化研究科, 助教 (60588242)
|
|---|
| Project Period (FY) |
2014-04-01 – 2017-03-31
|
| Keywords | DDoS攻撃 / サイバーセキュリティ / DNS / NTP / 増幅攻撃 / hadoop |
|---|
| Outline of Annual Research Achievements |
平成26年度は、主にDNSを中心とした、サービス基盤への攻撃データを収集するためのノードを設置し、データを収集ならびに蓄積するためのシステムを構築した。また、構築したシステムを利用し、攻撃の踏み台に利用できるDNSサーバやNTPサーバを攻撃者が探索する挙動を抽出ならびに分析した。
サービス基盤への攻撃データを収集するノードに関しては、攻撃を収集するための専用のネットワークを複数用意し、そのネットワークに対して行われる攻撃、もしくは攻撃の踏み台として利用できるノードを検知するための通信に関するデータを収集した。この手法は一般的にハニーポットと呼ばれるものであり、今年度は /24 プレフィクス (256 IPv4 アドレス分) の空間を持つ IPv4 アドレスを、3プレフィクス分用いて、データの収集を行った。また、ハニーポット以外にも、通常のユーザトラフィックデータを、sflowやnetflowといったサンプリング技術を用いて測定し、データ収集を行った。さらに、ユーザが通常利用しているいくつかのリゾルバDNSサーバにても問い合わせクエリに関するログを収集し、ユーザの問い合わせ挙動の基礎データとして蓄積した。
これらの手法にて収集したデータは、複数データを組み合わせて解析が行えるよう、hadoopと呼ばれる分散処理システムのデータ形式である、HDFSというファイルシステムに蓄積した。このデータ蓄積にあたっては、sflowやnetflowのサンプリングデータ、ならびにハニーポットから得られたパケットキャプチャデータ (pcap) 、ユーザのDNS問い合わせデータ(テキスト形式)を、あわせて解析できるよう中間形式に変換したデータとして蓄積するよう、システムを構築した。これにより、時系列やIPアドレス等、様々な軸をもとに解析を行うシステムを構築し、システムを用いて攻撃者の挙動を解析した。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
当初の計画では、平成26年度前半にDNSクエリ計測ノードの配布とデータ収集を行い、後半にオープンリゾルバ探索挙動の特定を行う予定となっていた。まず、前半に行うデータ収集に関しては、データ計測ノードの設置や、データ収集手法の整備を行い、当初の予定を達成することができた。さらに、当初の予定には明記されてい課題であるが、データを蓄積するためのシステム構築も行った。これは、データを収集する課程において、収集できるフォーマットに大きな差異があることに気づいたため、その差異を吸収してデータ蓄積、ならびに解析できるシステムが必要であるとの知見を得ることができたため、システムの開発と構築を行った。
さらに、後半にて予定されていた攻撃者の探索挙動の特定に関しては、データの中から攻撃者が探索を行っていると思われる挙動を発見することに成功した。この探索挙動は、その通信量が多いものでもなければ、順序立てて行われるものでもないため、データの流れを時系列にてとらえることでは発見されないものが多く含まれていた。そこで、解析システムを用いて、一定の単位時間における通信を時間軸ではなく宛先IPアドレスに従って並べ替えることで、探索挙動をより発見しやすくすることに成功した。
これらの成果から、平成26年度の研究目標はほぼ達成できたと言える。攻撃者の探索挙動については、まだ隠れている探索挙動がある可能性があるため、引き続き検索の軸を変えた分析を行い、より多くの攻撃者の挙動を把握する必要がある。そのため、攻撃者の探索挙動把握は次年度も引き続き行っていく。
|
| Strategy for Future Research Activity |
平成26年度は、その当初計画をほぼ達成することができた。しかし、攻撃者の探索挙動は、まだ把握できていない挙動が存在する可能性や、新たな探索手法が日々生み出されることを考慮し、次年度移行も引き続き定常的に行っていく必要があると考える。
平成27年度は、蓄積されたデータから実際の攻撃のパターンを把握し、その攻撃を浄化する手法を検討する。まずDNSを用いた攻撃をターゲットとし、DNSの問い合わせをそのパターンに応じてフィルタリングや制限をかけることのできる浄化機能を実装する。また、クラウドと準仮想化を利用した機構を用いて、ネットワークインフラにおいて、重要なサービス基盤への攻撃を防御する手法を検討し、設計ならびに構築することを目指す。さらに、平成26年度の成果である、攻撃者の探索挙動を元に攻撃の余地を行い、あらかじめ防御機構をネットワーク側に導入するといった、先見的な防御システムの構築可能せにに関しても検討する。
このように、平成27年度は、平成28年度における本研究成果の実展開を目指した、要素技術の設計・実装とシステム基盤の構築を主とした研究活動を行う予定である。
|
| Causes of Carryover |
計測ノード購入分として物品費を計上していたが、計測ノードが既存のノードを流用することができたり、計測ノード自体の価格が下がったりしたため、物品費が余る結果となった。その代わり、研究成果発表の機会が増えたため、旅費に流用した。また、今年度は謝金が発生するような研究の取りまとめ作業が発生しなかったため、謝金も旅費に流用した。
|
| Expenditure Plan for Carryover Budget |
来年度も、計測ノードと計測システムの整備に物品費を利用するとともに、より研究成果を多く発表するための旅費として使用する予定である。また、謝金を使いプロジェクト成果を公開する Web ページ等の整備を行う予定である。
|
Research Products
(3 results)
