研究課題/領域番号 |
21K11889
|
研究機関 | 九州工業大学 |
研究代表者 |
中村 豊 九州工業大学, 情報基盤センター, 教授 (40346317)
|
研究期間 (年度) |
2021-04-01 – 2024-03-31
|
キーワード | パケットキャプチャ / 内部通信 / 異常検知 |
研究実績の概要 |
本研究で提案する二次被害特定のためのトラフィック分析は申請者らの独自の手法である.一次被害端末を検出するための製品やサービスは数多く存在するが,一次被害端末が生成す るトラフィックを分析し,二次被害端末の特定,調査を行う研究は行われていない.特に内部拡散に用いられるラテラルムーブメントにおいて,内部ネットワークでどの端末が侵害を受けたかを分析することは,これまで非常に困難であった.これはラテラルムーブメントの通信を検知したとしても,その通信で内部拡散に成功したかどうかの成否を判定してこなかったからである.また,内部ネットワークの計測自体が非常に高コストで困難であった.しかし我々は大規模環境向けフルパケットキャプチャツールであるArkimeを用いることで比較的低価格なサーバでキャンパスネットワークのキャプチャシステムの構築に成功した. ArkimeではパケットキャプチャだけでなくElasticsearchを用いたセッション情報を取得することができる.このセッション情報を分析することで内部ネットワークにおける通信状態を把握することが可能となる.本研究ではArkimeが生成するセッション情報を分析することでラテラルムーブメント発生時の拡散の成否について判定するための手法について検討する.具体的には内部スキャン通信を検知した際,それらのセッションの特徴を分析し,「スキャンの検出」「サービスの検出」「端末への侵害」と3段階の分類を行い,二次被害端末の特定を行う. 令和4年度では令和3年度に構築したArkimeを用いた計測環境を用いて二次被害端末の特定手法について調査を進めた.
|
現在までの達成度 (区分) |
現在までの達成度 (区分)
2: おおむね順調に進展している
理由
令和4年度では令和3年度での分析に基づいてラテラルムーブメントを受診した端末が2次被害を受けて侵害されているかどうかの分析を進めていく. 一次被害端末が生成するスキャン通信には,以下の3つのパターンが考えられる.(a) 二次被害端末にサービスが立ち上がっていないため,SYNパケットのみの場合「スキャンの検出」と呼ぶ.(b) 二次被害端末にサービスは立ち上がっているが,接続に失敗している場合「サービスの検出」と呼ぶ.(c) 二次被害端末にサービスが立ち上がっていて,接続に成功している場合「端末への侵害」と呼ぶ.通常の通信およびラテラルムーブメントに成功した通信は(c)であるため,セッション単体での識別は困難である.従って,(a)から(c)へ状態遷移した場合が一時被害端末から二次被害端末へ拡散が成功していると考えられ,CSIRTによる二次被害端末の分析対象ホストとなると考えられる. 令和4年度ではデータの自動取得環境の構築行い,上記のアルゴリズムについて検証を進めた.今後はパケット再現ソフトウェアを用いたシステムの可用性について検討を進めていく予定である.
|
今後の研究の推進方策 |
令和5年度ではArkimeで蓄積したpcapファイルに対して,パケット再現ソフトウェアを用いて再生することで,スキャン検知に関する調査を進める.再現ソフトウェアがパケット送信をタイムスタンプ通りに行わないため,スロースキャンが縮退して現れることが考えられる.攻撃者はスキャンを検知させないためにスロースキャンを行うが,再現ソフトウェアを用いることで,これらを検出できる可能性が高い.したがって,再現ソフトウェアを用いた場合の検知アルゴリズムについて,検証することが必要となる.しかしながら,リアルタイムで計測した場合の検知指標と再現ソフトウェアを用いた場合の検知指標は異なることが予想できるため,これらについての考察が必要になると思われる.さらに他組織のpcapファイルを用いて再現することが可能となるため,可用性が非常に高まると言えるが,機微情報の取り扱いについては十分中する必要がある.
|