Microsoft PowerPoint - gcoe-nec-shigeki_goto-v3.pptx

Size: px

Start display at page:

Download "Microsoft PowerPoint - gcoe-nec-shigeki_goto-v3.pptx"

しまなにいだ
4 years ago
Views:

1 Future Internetとフロー指向後藤滋樹, 石井翔, 山田建史, 下田晃弘 1-1 NEC- 早稲田大学技術交流会

2 Future Internet NSF GENI, Spiral 3 Chip Elliott, GENI Project Director Trials of GENI-enabled commercial equipment NEC WiMAX Base Station NEC IP8800 Ethernet Switch Internet2 Joint Techs Software Defined Network Global Future Internet Summit in Korea, Nov-Dec, Software Defined Networking(SDN), Guru Parulkar, Stanford 1-2 NEC- 早稲田大学技術交流会

3 Future Internet NSF Future Internet Architecture (FIA) Awards August 27, 2010, Press Release Named Data Networking MobilityFirst NEBULA expressive It Internet t Architecture t The EU Framework Programme for Research and Innovation HORIZON 2020 from 2014 to 2020, 80 billion Euro OpenFlow in Europe: Linking Infrastructure and Applicaitons Partner: NEC Europe The European Future Internet Alliance NEC- 早稲田大学技術交流会

4 Future Internet Future Internet Assembly (FIA) orks/book/ The network of the future Cloud computing, Internet of services and advanced software engineering Internet-connected objects Trustworthy ICT Networked media and search systems Socio-economic considerations for the Future Internet Application domains for the Future Internet Future Internet research and experimentation (FIRE) 1-4 NEC- 早稲田大学技術交流会

5 議論の余地あり有線と無線昔は長距離が無線近距離は有線現代は長距離が有線近距離は無線電信と電話電信はデジタル技術電話はアナログ技術電話はアナ現代はテレビの信号を電信で送る回線交換とパケット交換パケットは独立ではない回線交換は省エネルギー [1] フロー指向は自然データにタグを付ける自動的に判別する怪しいフローの取扱 1-5 [1] 持永大, 小林克志, 工藤知宏, 村瀬一郎, 後藤滋樹, インターネット上のコンテンツ分布を考慮した光回線交換方式及びCDN 方式の採用による省電力の評価電子通信学会論文誌 B Vol.J94-B, No.10, pp , October, 2011.

6 2 サーバ負荷分散における OpenFlow を用いた省電力法 2-1 NEC- 早稲田大技術交流会

7 背景震災を契機に省電力化が課題サーバ負荷分散システムについても省電力化を考える必要 NEC- 早稲田大学技術交流会 2-2

8 サーバ負荷分散システムの省電力化の既存手法サーバ負荷分散システムにおいてサーバの待機を行うことで動的に稼働サーバ数を制御する手法 [1] ユーザ群 Suspend! ただし DNS (Domain Name System) を用いたサーバ負荷分散システムについては考慮されていない DNS キャッシュがあるため動的な制御に適さない本研究はここに着目 [1] Takayuki Imada, Mitsuhisa Sato, Yoshihiko Hotta, Hideaki Kimura, Power management of distributed web savers by controlling server power state and traffic prediction for QoS, Graduate School of Systems and Information Engineering, University of Tsukuba, IEEE International Symposium on Parallel and Distributed Processing (IPDPS), pp.1-8, April NEC- 早稲田大学技術交流会 2-3

9 研究目的と提案手法研究目的 DNS (Domain Name System) を用いたサーバ負荷分散法を改善提案手法 OpenFlowを用いることで可用性を維持しつつ短時間でサーバを待機状態にして消費電力を削減 NEC- 早稲田大学技術交流会 2-4

10 OpenFlow コントローラでスイッチを集中制御一連の通信をフローとして扱いフローごとに制御 OpenFlow Controller (Server Software) Switch Switch hardware 送信元 MACアドレス宛先 MACアドレス hardware VLANのタグID Switch 送信元 IPアドレス宛先 IPアドレス hardware ここで述べるフローは以下のパラメータの組み合わせ受信したスイッチのポート hardware 送信元ポート番号宛先ポート番号 Switch hardware NEC- 早稲田大学技術交流会 2-5

11 IP4 のサーバを待機したい既存手法におけるサーバ待機の問題点 DNSサーバ = IP1, IP2, IP3, IP4 IP1 IP2 IP3 IP4 通信中待機不可 Internet キャッシュサーバ = IP1, IP2, IP3, IP4 ユーザ群 NEC- 早稲田大学技術交流会待機に時間がかかるサーバが待機する際にキャッシュがexpireするまでに要求が到着してしまう 2-6

12 IP4のサーバを待機したい DNS ラウンドロビンの改善 DNSサーバ = IP1, IP2, IP3, IP4 IP1 IP2 IP3 IP4 待機可能!! Openflow 転送 Controller The Internet キャッシュサーバ = IP1, IP2, IP3, IP4 ユーザ群早期のサーバ待機が可能待機時キャッシュにより到着した要求をアドレスを書き換えて転送 NEC- 早稲田大学技術交流会 2-7

13 サーバ待機時の提案手法の動作待機決定前待機対象のサーバ待機決定待機対象のサーバへの通信が終わるまで待機対象のサーバへのパケットが0 待機実行待機 OpenFlow コントローラ OpenFlow スイッチ他の OpenFlow スイッチへ他の OpenFlow スイッチへ待機決定時に通信途中の通信のみを待機対象のサーバに転送 ( コントローラを使ってフロー単位で定義 ) NEC- 早稲田大学技術交流会 2-8

14 実証実験提案手法が電力を削減できることを示す実験の方針 : 実験 1: サーバ待機の省電力効果測定実験 2: 待機決定から待機実行までの時間比較実験 3: 実トラヒックへの提案手法の電力削減量算出 NEC- 早稲田大学技術交流会 2-9

15 実験 1 ( サーバ待機の省電力効果測定 ) 結果表 1.1 稼働時と待機時の消費電力 3 秒で 1W まで削減稼働時消費電力 [W] 待機時消費電力 [W] Min Max Avg 表 1.2 待機時の所要時間図 1 待機時のサーバの消費電力推移待機サーバ待機の所要時間と消費電力を測定所要時間 [s] 3 秒で 1Wと高速で低い消費電力まで抑えられサーバ待機の省電力に対する有効性が示された Min Max Avg NEC- 早稲田大学技術交流会 2-10

16 実験 2 ( サーバの待機決定から待機実行までの時間比較 ) 概要サーバの待機を決定してから実行可能となるまでの時間を測定提案手法を用いた場合と用いない場合を比較待機決定待機対象のサーバへの通信が無くなる待機実行 NEC- 早稲田大学技術交流会 2-11

17 実験 2 ( サーバの待機決定から実行までの時間比較 ) 実験環境サーバ 1 サーバ 2 OpenFlow コントローラ OpenFlow スイッチ 1 台のスイッチ内で仮想的に2 台に分離待機転送 Layer 2 スイッチソフトウェアルータ疑似 DNS ラウンドロビンクライアント実機で構築現在 OpenFlow スイッチによる IPアドレス書き換えが低速なため MACアドレス書き換えを用いて実装 NEC- 早稲田大学技術交流会 2-12

18 実験 2 ( 待機決定から待機実行までの時間比較 ) 実験結果既存手法は大きく増加提案手法は常に 2~3 秒図 2 待機決定から待機実行可能となるまでの時間時間が短いほど良い提案手法の場合はキャッシュ時間に関わらず高速に待機可能となる NEC- 早稲田大学技術交流会 2-13

19 実験 3( 実トラヒックへの提案手法の電力削減量算出 ) 概要一日の実トラヒックを測定ある商用ネットワークにおいてポート80 (HTTP) のセッション数を測定したもの実トラヒックに対してサーバ稼働数を設定し提案手法の一日の電力削減量を算出 NEC- 早稲田大学技術交流会 2-14

20 実験 3( 実トラヒックへの提案手法の電力削減量算出 ) において仮定する環境 DNS サーバ Openflow Controller The Internet キャッシュサーバユーザ群実験システムのパラメータは実験 1, 2, 3 と同一 NEC- 早稲田大学技術交流会 2-15

21 実験 3( 実トラヒックへの提案手法の電力削減量算出 ) 実トラヒックへの提案手法の適用結果 DNS キャッシュ時間 =3600 [s] Pow wer [Wh] 100,000 90,000 80,000 70, ,000 50,000 40, ,000 20,000 10,000 0 この部分の電力が削減 17:0020:0023:0002:0005:0008:00 11:00 14:0017:00 Time [JST] 220, , , , , , ,000 80,000 60,000 40,000 20,000 0 t Sess sion Coun Only DNS Roundrobin Proposed SYN/ACK Count DNS ラウンドロビンのみの待機と比べて 5.9% 電力量を削減待機を行わない場合と比べて 51.5% 電力量を削減 NEC- 早稲田大学技術交流会 2-16

22 実験 3 ( 実トラヒックへの提案手法の電力削減量算出 ) 実トラヒックへの提案手法の適用結果 Power [Wh h] 18,000,000 17,000,000 16,000,000 15,000,000 14,000,000 P13,000,000 12,000,000 最大で消費電力を 17% 削減 Traditional Proposed 11,000,000 10,000, ,000 4,000 6,000 8,000 10,000 12,000 DNS Cache Time [Sec] いずれの場合においても電力量の削減に成功提案手法を実環境に適用した場合の省電力効果を示す NEC- 早稲田大学技術交流会 2-17

23 まとめ DNSによるサーバ負荷分散環境において OpenFlowスイッチを使ってキャッシュ時間による遅延時間を補正して省電力を実現 DNSのキャッシュ時間が長いほど提案手法による電力削減の効果が大きい NEC- 早稲田大学技術交流会 2-18

24 3 OpenFlow スイッチによる広域通信の効率的集約法 3-1 NEC- 早大技術交流会

25 研究の背景情報量増大に伴い悪意のある通信の問題が顕在化国際的なサイバー攻撃が頻発ボットネットの活動の調査が追いつかない通信の選別広域的な調査を行い多様化した攻撃の実態を掴む効率的に攻撃手法の情報収集が必要 IT 利用の利便性と情報セキュリティ対策との両立 3-2 NEC- 早大技術交流会

26 研究の目的 1 既存の悪意のある通信の観測や防御に必要な機器侵入検知システム (IDS) 侵入防御システム (IPS) ファイアウォール観測を行う範囲を広げると設備投資によるコスト増大機器の運用や設定にかかる人的なコストネットワーク機器での制御観測機器の設置維持によるコストを抑えられる広域な通信を効率良く制御できる 3-3 NEC- 早大技術交流会

27 関連研究 : ポリシールーティングを用いたネットワークハニーポットの構築白畑真, 南政樹, 村井純 ( 情報処理学会研究報告 (DSM-038) pp.55-58, 2005) ルータにポリシーを与え検知した通信をハニーポットに集約特定のポート番号を元にルーティング Iptables と iproute2 を組み合わせるポート番号によるポリシールーティングルータホスト Internet ルータエントリ数が大きくなるとルータに負荷がかかるポート番号でのみの制御制御内容の適用はルータ自身にのみ効率が悪くスケールアウトしない 3-4 NEC- 早大技術交流会ハニーポット

28 研究の目的 2 広域な通信を一元管理できるネットワーク管理システムが必要 OpenFlowスイッチング技術スイッチの機能を転送部と制御部に独立制御部による転送部への一元管理柔軟かつ集約的な制御広域通信を効率良く制御し悪意のある通信を集約する悪意のある通信の選別安定した通信の集約 3-5 NEC- 早大技術交流会

29 提案手法 OpenFlow スイッチによる悪意のある通信の集約 3-6 NEC- 早大技術交流会

30 提案手法 : 悪意のある通信の集約広範囲の通信を OpenFlow スイッチにより選別誘導選別した通信をハニーポットに集約 dhi dshield.org が公開しているブラックリスト O/F Controller ポート番号送信元 IP アドレス O/F スイッチ 1 O/F:OpenFlow ホスト Internet O/F スイッチ n 機能の独立スケールアウト可能 3-7 Controller 制御柔軟かつ動的なポリシー柔軟かつ安定したセキュアなシステム NEC- 早大技術交流会ハニーポット

31 実証実験 : 概要攻撃通信を hping3 正常な通信を iperf で再現 hping3: ping ライクなパケット生成ツールポートスキャンスパムによる攻撃 ( 送信元 IP アドレスの偽造 ) iperf: トラヒック発生ツールファイルダウンロードスループットの測定比較実験項目収集率の比較スループットの比較 ( 平均スループット分散 ) 実験環境仮想サーバ上に仮想ネットワークを構築 3-8 NEC- 早大技術交流会

32 悪意のある通信の再現 hping3 icmp プロトコルで動作する ping ライクなコマンド多種様々なパケットの生成が可能 iperf ポートスキャンと IP スプーフィングを利用 IP スプーフィング : 送信元 IP アドレスの偽造擬似トラフィック生成ツールファイルダウンロードやスループットの測定サーバ / クライアント方式で動作 1Mbyte のファイルダウンロードを利用測定はしばらく時間を置いて通信が安定してから行う 3-9 NEC- 早大技術交流会

33 実証実験 : 基本構成と詳細サーバホスト間に 2 つのトラフィックによる通信を観測収集率 : 攻撃通信がハニーポットに流れた割合スループット : サーバホスト間を測定 O/F:OpenFlow O/F Controller ホスト O/F スイッチ 1 サーバ正常な通信 :iperf 攻撃通信 :hping O/F スイッチ 2 NEC- 早大技術交流会ハニーポット

34 実験環境 : 既存手法ルータにポリシーを与え検知した通信をハニーポットに集約特定のポート番号を元にルーティング Iptables と iproute2 を組み合わせるポート番号によるポリシールーティングポリシルータホストサーバポリシルータハニーポット 3-11 NEC- 早大技術交流会

35 ポリシールーティングの構成図 iproute2 とiptables を組み合わせることでポリシーを設定し転送を行うホストサーバ 3-12 NEC- 早大技術交流会

36 実験環境 : 提案手法ポリシーやコントローラの制御により悪意のある通信を選別送信元 IP アドレスポートポリシー O/F Controller O/F:OpenFlow 更新 The Internet ホスト O/F スイッチ 1 サーバ O/F スイッチ NEC- 早大技術交流会ハニーポット

37 使用したポリシーポート番号 nepenthes が対応検知するポート番号 18 種類上位 20 件参考 : インターネット治安情勢 2010 年 7~9 月合計 27 種類ブラックリスト Dshield.org が提供ホストの IP アドレス群スキャンや不正アクセス上位 100 件を使用 3-14 NEC- 早大技術交流会

38 実験結果 1: 収集率 35 悪意のある全トラフィックから集約した通信の割合収集率 (%) 既存手法ポート番号のみ NEC- 早大技術交流会提案手法ポート番号 +IP ブラックリスト

39 実験結果 2: 平均スループット平均スループット (Mbps) 分散既存手法提案手法スループットのばらつきが少ない 3-16 NEC- 早大技術交流会

40 まとめ安定した広域通信での通信集約システム OpenFlow による通信選別手法集約率に大きな改善安定したスループット提案手法に優位性実用性 3-17 NEC- 早大技術交流会

41 今後の課題 1. より精度の高いポリシーを検討より動的で柔軟なポリシーの設定 2. 比較対象の検討 - vyatta などの仮想ルータとの比較今回はopenvswitch を使用 - OpenFlow スイッチとの比較ポリシルータではなく既存の OpenFlow スイッチで複数種類の手法を検討 3. 実機での検証今回は仮想環境での実験 3-18 NEC- 早大技術交流会

42 4 多次元的モニタリングよるフローベースのインターネット脅威検出システム 4-1 NEC- 早大技術交流会

43 インターネットの介した攻撃の早期発見と抑止への取り組みバックボーン側 4-2 エッジ側インターネットのボットネットネットのボットネットマルウェアによる脅威をバックボーンネットワーク側 ( マクロ ) エッジネットワーク側 ( ミクロ ) の双方の視点から分析従来の方法バックボーン側 ( マクロ ) の観測定点観測システム (JPCERT: ISDAS, NICT: NICTER) ユーザのサブミッションログエッジ側 ( ミクロ ) の観測侵入検知ソフトウェアファイアウォールハニーポット本研究では攻撃を少ないリソースで効率的に収集検出する方法を提案することでネットワーク管理者の脅威検出をサポート

Darknet による不正なパケットの検出受信専用のサーバにグローバル IPアドレスを割り当てスキャンニングや DDoS の発生 (Backscatter) を効率的に検出観測するアドレス空間を範囲を広げるには多くのサーバ資源が必要ネットワークのエッジ側でしか観測できない Block

44 Darknet による不正なパケットの検出受信専用のサーバにグローバル IPアドレスを割り当てスキャンニングや DDoS の発生 (Backscatter) を効率的に検出観測するアドレス空間を範囲を広げるには多くのサーバ資源が必要ネットワークのエッジ側でしか観測できない Block all outgoing packets Anomaly packets Attacker No response 4-3 Accept all incomming packets Firewall logging PC Sensor Box (DarkNet implementation)

45 仮想センサによる広域ネットワーク脅威検出バックボーン上でマクロな定点観測を実現測定点はバックボーンのルータ / スイッチ ( エッジではない ) 受信のみの IP アドレスを推定センサとして活用従来の定点観測と比較測定対象としてカバーインターネット 1. 測定に関わるサーバ資源を大幅に削減 2. バックボーン ISPに適用可 3. 広範囲のネットーワーク空間を逆向きフローの存在しない一方通行のフローを検出し攻撃元その宛先 IPアドレスを仮想センサとみなす仮想センサ ( ボットワーム等 ) ( 数万台規模 ) [1] Akihiro Shimoda and Shigeki Goto, Virtual Dark IP for Internet Threat Detection, the 25 th APAN Meeting, pp.17-23, August, [2] Akihiro Shimoda, Shigeki Goto, Flow based anomaly traffic detection, The 13th JSPS/NRF Core iversity 4-4 Program Seminar, Aug, 2009.

広域ハニーポット展開システム DarkPots 企業キャンパスネットワークが保有する未使用 IPアドレス上にセンサハニーポットを展開システムの動作疑似応答パケットインターネット Forwarder list of unused-ips ハニーポット or センサ群 Vacancy checker ゲートウェイ mirroring 企業 /

ハニーポット / センサは未使用 IPアドレスの代わりにパケットを受信転送特徴管理サブネット内部の余剰 IPアドレスを脅威観測のために活用ファイアウォールと連携する場合未使用 IPアドレスの誤検知は一切発生しない [3] [4] Akihiro Shimoda, Tatsuya Mori, and Shigeki Goto, Sensor in the

46 広域ハニーポット展開システム DarkPots 企業キャンパスネットワークが保有する未使用 IPアドレス上にセンサハニーポットを展開システムの動作疑似応答パケットインターネット Forwarder list of unused-ips ハニーポット or センサ群 Vacancy checker ゲートウェイ mirroring 企業 / キャンパスネットワーク 1.Vacancy checkerで未使用 IP アドレスを検出 (Firewallの情報も利用) 2.Forwarderは未使用 IPアドレス宛のパケットをセンサ群に転送 3. ハニーポット / センサは未使用 IPアドレスの代わりにパケットを受信転送特徴管理サブネット内部の余剰 IPアドレスを脅威観測のために活用ファイアウォールと連携する場合未使用 IPアドレスの誤検知は一切発生しない [3] [4] Akihiro Shimoda, Tatsuya Mori, and Shigeki Goto, Sensor in the Dark: Building Untraceable Large-scale Honeypots using Virtualization Technologies, th IEEE/IPSJ International Symposium on Applications and the Internet, pp.22-30, July, ( 博士論文 ) Akihiro Shimoda,, Internet Threat Detection Method based on Virtual Sensors, 2011 年 3 月. 4-5

47 Darknet / Darkpots 観測の問題点 IPv4 アドレス枯渇に伴い未使用 IP アドレスが減少 IPv6 等の大きいアドレス空間に適用する場合はシステムの負荷が増大未使用 IP アドレスのリストをシステム内部で保持しなければならない利用中の IP アドレスに対してはセンサハニーポットを展開できない 4-6

48 4-7 提案手法

49 従来の方式 (IP アドレスベース ) 攻撃観測は未使用の IP アドレス上でのみ active host w/o firewall active host w/ firewall inactive i host or unassigned (darknet) sensor(s) gateway the Internet gateway scan packets worms or botnet 4-8 IP address space honeypot(s) Analyzers

50 提案手法 ( フローベース ) フロー単位で正常 / 不正な通信を識別従来は不可能だったActive なIPアドレス上でも不正パケットの検出を実現 active host w/o firewall active host w/ firewall inactive i host or unassigned (darknet) sensor(s) gateway the Internet gateway scan packets worms or botnet IP address space honeypot(s) Analyzers 4-9 [5] 下田晃弘, 森達哉, 後藤滋樹, DarkFlow 検出によるリアルタイムインターネット脅威検出システム, 電子情報通信学会ネットワーク仮想化研究会 (NV), NV2011-4, pp , July, 2011.

51 フローベースの攻撃検出手法 syn に対して syn/ack が一定時間返らないフローを不正なフローと見なしてセンサーに転送待ち時間については後述の実験で評価済み botnet/worm syn syn (re-trans.) syn/ack (honeypot only) ack forwarder forward delay: T sec syn sensor/ honeypot sensor log the syn packet honeypot send a response packet 4-10

52 IPアドレス網羅率を向上する多次元的モニタリング従来の darknet で検出可能な範囲 unusable tcp port for threat monitoring usable tcp port for threat monitoring tcp/445 tcp/443 tcp/139 tcp/135 tcp/80 tcp/22 Host Power ON (A) OFF (B) ON (C) ON (D) OFF (E) ON (F) ON (G) ホストの状態 ON/ active, OFF /inactive ホスト名 4-11 rst or syn/ack を応答しない TCP ポート宛のパケットを不正なパケットとして検出攻撃カバー率が大幅に向上

53 提案システムのアーキテクチャ紹介 4-12

54 提案システムの構成 ( コンポーネント ) syn パケットを遅延させるためのキュー control plane Delay queue delete Response Locator 応答フロー検出時に遅延キューから該当するsynパケットを削除 data plane センサに転送するフロー情報を保持 Forward the new TCP packet to delay queue Ingress port Forwarding Table Entry the TCP flow to the monitoring slice Egress port センサ / ハニーポットを動作させるネットワーク Monitoring network The Internet 4-13

55 提案システムの構成 (Flow Class Allocation) Monitoring class Malicious flows 明示的に使われていないアドレス空間を登録し Darknet と併用した観測を実現 Internet t Dark IPs/net. Analyzers Programmable Switch mirror Grey flows Non-monitoring class Excluding hosts Legitimate hosts delay queue drop if connection established 管理者側で除外したいホストや明示的に正常と見なすホストを登録 to local area network 4-14 Switch

56 提案システムの構成 (Policy-based Forwarding) Sensor A Policy based Classification VLAN Trunk Forwarding Table Switch Sensor B Honeypot A Forwarder Policy Policy example dest x.x.x.x/y => Sensor A daddr:x and dport:445 => Honeypot A dport:139 => Honeypot B Honeypot B 4-15

57 提案システムのソフトウェア実装 4-16

58 Forwarder Implementation ポートミラーリングを利用 ( フロースイッチの代替 ) Forwarder Local Area Network (d) Active Host Monitoring delete packet assign VLAN tag (a) input process (b) Delay Queue gateway mirroring NIC NIC delete flow IPTables forwarding NIC It Internett (c) output process forwarding tbl table Analyzers 4-17 データプレーンコントロールプレーンをすべてLinuxのnetfilter 上に実装 Linux server

59 Honeypot / Sensor Wrapper Implementation NIC sensor iptables logging process honeypot virtual interfaces NIC input process iptables create honeypot process ) syn パケットの宛先 IPアドレスを持つ仮想インターフェイスを生成 2) ハニーポットプロセスにフォワード Unix socket を利用するハニーポットはソフトウェアの変更なしに送信元を偽装してセッションを確立できる

60 4-19 実証実験

61 実験環境大学ゲートウェイに提案システムを設置トラフィックは昼夜平均 300Mbps ピーク時は 1Gbps 超 2011 年 7 月の数週間にわたり観測大学のすべてのサブネットを観測対象クラス B (/16, total 65,536 IP addresses) 評価の観点フローベースの不正パケット検出方式の精度 ActiveなIPアドレスのカバー率システムの性能評価 4-20

62 大学ネットワークにおける TCP syn/ack パケットの遅延割合ゲートウェイのトラフィックをモニターして syn を検出後にsyn/ack を観測するまでの時間を計測 % のフローはsyn/ackパケットが 5sec 未満で到達 syn/ack が遅れたケースではセッションが成立しているか? 4-21

63 syn/ack 遅延セッションにおけるコネクション成立数 5sec ではセッション確立フローは無しただし一部の例外ホスト (Planetlab ノード ) を除く 4-22

64 syn/ack 遅延率と syn パケット保持数のトレードオフ評価 % packets # of syn delay queue size delayed syn/ack ratio no established session is located forward delay [sec] % % % % % % % delayed syn/ack ratio better 遅延キューのタイムアウト (forward delay: T sec) が長すぎとキューに貯まる synパケットが増えメモリを消費ハニーポットの場合ポットの場合 TCP タイムアウトによりセッションが確立しない恐れ 4-23 以上を総合的に判断して遅延キューのタイムアウト (T) を 5 sec に設定

65 ネットワーク脅威検出に利用可能な IP アドレスの個数 conventional unused (IP-address-based) darknet multi-dimensional our method (flow-based) # of IP addr ress hours syn/ack を応答しないポートが少なくとも 1 つ以上存在するIPアドレスをカウントパケットを発信していない inactive と推定される IP アドレスをカウント (Darknet 方式 / Virtual Dark IP address 方式 ) 4-24 Active なホストが多く存在するネットワークにおいてモニタリング対象の IP アドレスを大幅に拡張することに成功

66 メモリ使用率の評価 flow ws or packets [#] syn table [#] delay queue flow table [#] memoy usage [MB] mem mory usage [M Mbytes] 大学のIPv4アドレス空間 (/16) 全体を監視する場合でも高々 7MByte のメモリ消費メモリ消費量はその時点におけるコネクション数に依存 IPv6 等の広いアドレス空間をわずかなサーバ資源で観測可能 second

67 まとめフローベースの不正パケット攻撃検出システムを提案 ActiveなIPアドレスに対する攻撃を観測できるため IPアドレス利用率の高い企業大学のネットワークでも幅広くセンサハニーポットを展開 IP アドレスリストを保持する必要がなく IPv6 等の広いアドレス空間も少ないリソースで観測できるプログラマブルフロースイッチと連携したポリシーにより観測網の展開をより柔軟に従来の Darknet と併用することで互いの長所を活かした観測を実現 Flow Class の定義により観測対象のスコープに含めるまたは除外するネットワークを指定できる 4-26

Microsoft PowerPoint _y.kenji.pptx

Microsoft PowerPoint _y.kenji.pptx 2010 年度卒業論文 OpenFlow スイッチによる広域通信の効率的集約法早稲田大学基幹理工学部情報理工学科後藤研究室 4 年山田建史 (Kenji YAMADA) 2010/02/03 卒論 B 合同審査会 1 Agenda 1. 研究の背景 2. 研究の目的 3. 既存手法 4. 提案手法 5. 実証実験 6. 実験結果 7. まとめと今後の課題 2010/02/03 卒論 B 合同審査会