卒業論文審査

Transcription

1 OS の推定に基づく 悪意のある通信の検出法 早稲田大学基幹理工学部情報理工学科後藤滋樹研究室 4 年 1W 志村悟 (Satoru SHIMURA) 2013/2/5 卒業論文審査会 1

2 目次 研究の背景 目的 提案手法 実証実験 実験結果 まとめと今後の課題 2013/2/5 卒業論文審査会 2

3 研究の背景 悪意のある通信の増加 [2] 通信データより OS を推定する技術に TCP fingerprinting が存在する TCP fingerprinting を行うための既存 OS のシグネチャが存在する カーネルマルウェアは既存 OS のシグネチャとは異なる通信を行う [1] 実際に稼働しているネットワークには既存 OSのシグネチャとは異なる通信が確認された [1] 木佐森幸太, 下田晃弘, 森達哉, 後藤滋樹, TCPフィンガープリントによる悪意のある通信の分析, 情報処理学会論文誌, vol. 52, no. 6, pp , June /2/5 卒業論文審査会 3

4 研究の目的 既存研究の成果を活用して カーネルマルウェアに感染した可能性のあるホストを検出する手法を提案する TCP Fingerprinting と IP BlackList* 1 の情報を集約 シグネチャの作成 * 1 IP BlackList : 悪意のある活動を行っているホストの IP アドレスをリスト化して公開しているもの詳しくは後で述べる 作成したシグネチャを実際に稼働しているネットワークの通信データに適用し 本研究の有効性を実証する 2013/2/5 卒業論文審査会 4

5 提案手法 1. CCCDATAset2010 及び 2011* 2 の攻撃通信データに対して既存 OS のシグネチャで p0f* 3 を適用 2. UNKNOWN と判定されたシグネチャを抽出 集約 ( 以下 作成したシグネチャを MWS シグネチャと呼ぶ ) [1] 3. 実ネットワークの通信に対して 既存 OS のシグネチャと MWS シグネチャで p0f を適用 4. UNKNOWN と判定されたシグネチャを抽出し シグネチャごとに送信元 IP アドレスをまとめる * 2 サイバークリーンセンターで収集したデータを基に作成された マルウェア研究用のデータセットハニーポットの通信をtcpdump でパケットキャプチャしたlibpcap 形式のファイル * 3 Passive fingerprinting を行うツール 2013/2/5 卒業論文審査会 5

6 提案手法 5. まとめた IP アドレスに対して IP BlackList* 1 の照合を行い シグネチャごとの IP BlackList ヒット率を求める 6. IP BlackList のヒット率が 90% 以上 80% 以上 70% 以上 60% 以上 50% 以上の 5 種類のシグネチャのグループにまとめる * 1 IP BlackList : 悪意のある活動を行っているホストの IP アドレスをリスト化して公開しているもの詳しくは後で述べる 2013/2/5 卒業論文審査会 6

7 提案手法 #### sig = *:128:0:*:0,3:mss,nop,ws,nop,nop,ts,nop,nop,sok:df,id+,uptr+,ts1-:0 #### #### sig = *:128:0:*:0,5:mss,nop,ws,nop,nop,ts,nop,nop,sok:df,id+,ts1-:0 #### e.g. この 2 つの IP アドレスが IP BlackList に掲載されていれば このシグネチャの IP BlackList ヒット率を 100% とする #### sig = *:128:0:*:0,5:mss,nop,ws,nop,nop,ts,nop,nop,sok:df,id+,uptr+,ts1-:0 #### #### sig = *:128:0:*:10052,0:mss,nop,nop,ts,nop,nop,sok:df,id+,ts1-:0 #### /2/5 卒業論文審査会 7

8 提案手法 以下 作成したシグネチャをそれぞれ proposal_90 proposal_80 proposal_70 proposal_60 proposal_50 と呼ぶ 2013/2/5 卒業論文審査会 8

9 用いた Black List の説明 SBL(Spamhaus Block List) スパムメールの送信に関与していると判断された IP アドレスのリスト XBL(Exploits Block List) ワームやウイルス, トロイの木馬などに感染したと思われるホストの IP アドレスのリスト PBL(Policy Block List) メールサーバに対して, 認証済みでない SMTP メールを送信しているエンドユーザの IP アドレスのリスト 2012 年 4 月時点のものを使用 参考 : 2013/2/5 卒業論文審査会 9

10 実証実験 本研究の提案手法の有効性を確かめるために 実際に稼働しているネットワークの通信データに対して 既存 OS のシグネチャ MWS シグネチャ 提案手法のシグネチャで p0f を適用 シグネチャごとの分類 送信先ポート番号の集計 IP Black List の参照を行った 2013/2/5 卒業論文審査会 10

11 実験に用いるデータ 早稲田大学のゲートウェイにて観測された学外から学内に向かって送信された TCP SYN パケット シグネチャ作成用 2012/08/20/14:30 ~ 2012/08/25/14:30 61,380,197 パケット 実証実験用 2012/10/08/20:00 ~ 2012/10/14/20:00 105,347,240 パケット 2013/2/5 卒業論文審査会 11

12 実験結果 : シグネチャごとの分類 ( パケット数 ) 各シグネチャの SYN パケット数の割合 既存 OS MWS シグネチャ UNKNOWN 提案手法合計 PROPOSAL_90 4.9% 0.1% PROPOSAL_80 3.1% 2.0% PROPOSAL_ % 30.5% 2.4% 2.7% 100% PROPOSAL_60 1.8% 3.3% PROPOSAL_50 1.3% 3.8% 2013/2/5 卒業論文審査会 12

13 実験結果 : シグネチャごとの分類 ( 送信元 IP アドレス数 ) 各シグネチャの送信元 IP アドレス数の割合 既存 OS MWS シグネチャ UNKNOWN 提案手法合計 PROPOSAL_90 5.9% 0.3% PROPOSAL_80 3.2% 3.1% PROPOSAL_ % 1.1% 1.9% 4.4% 100% PROPOSAL_60 0.7% 5.6% PROPOSAL_50 0.2% 6.0% 2013/2/5 卒業論文審査会 13

14 実験結果 : 送信先ポート番号の集計 PROPOSAL_80と判定されたパケットの送信先ポート番号の出現回数の上位 10 位送信先ポート番号 出現回数 全体に占める割合 (%) , % , % , % , % , % , % , % , % , % 25 6, % 2013/2/5 卒業論文審査会 14

15 実験結果 :IP Black List 参照 Black List にヒットした IP アドレス数 IP BlackList 参照結果 Black List にヒットしなかった IP アドレス数 シグネチャに一致した全 IP アドレス数 PROPOSAL_90 7,649 1,816 9,465 PROPOSAL_80 72,033 14,014 86,047 PROPOSAL_70 97,459 24, ,392 PROPOSAL_60 116,859 37, ,734 PROPOSAL_50 123,100 43, , /2/5 卒業論文審査会 15

16 実験結果 : 送信先ポート番号の集計 PROPOSAL _80の内 BlackListにヒットしなかったパケットの 送信先ポート番号の出現回数の上位 10 位 送信先ポート番号 出現回数 全体に占める割合 (%) 445 9, % 80 3, % % % % % % % % % 2013/2/5 卒業論文審査会 16

17 まとめと今後の課題 まとめ TCP Fingerprinting を用いて既存 OS とは異なるシグネチャを抽出 IP BlacKList の情報を取り入れ 情報を集約 新たなシグネチャの作成 攻撃の可能性がある通信を検出することができた 今後の課題 シグネチャの更新 パケットの中身や通信フローに踏み込んだ詳細な分析 2013/2/5 卒業論文審査会 17

18 ご清聴ありがとうございました 2013/2/5 卒業論文審査会 18

19 補足資料 2013/2/5 卒業論文審査会 19

20 カーネルマルウェア 特権モードで動作するマルウェア 侵入した形跡を消して感染したことを隠ぺいすることが可能 パーソナルファイアウォールに妨げられることなく通信できる 2013/2/5 卒業論文審査会 20

21 TCP fingerprinting Active fingerprinting 対象ホストへの通信を行い 得られた通信データからOSを推定 OS 推定に利用できるデータ量が多い ICMPパケットがブロックされると利用不可 nmapが有名 Passive fingerprinting 対象ホストへの通信は行わず 受信した通信データからOSを推定 OS 推定に利用できるデータ量が少ない 新たにトラフィックを発生させる必要がない p0fが有名 2013/2/5 卒業論文審査会 21

22 p0f(passive fingerprinting) シグネチャに用いられるパラメータ IP のバージョン 初期 TTL(Time to Live) IP オプションの長さ mss(maximum segment size) wsize(window size) window scaling factor TCP オプションの順番 IP ヘッダと TCP ヘッダで観測された特徴 ペイロードサイズ 2013/2/5 卒業論文審査会 22

23 p0f のシグネチャにおける TCP オプションリスト eol +n オプションの終わり ( その後に n バイトのパディング ) nop mss ws sok sack ts nop オプション 最大セグメントサイズオプション ウィンドウスケールオプション 選択確認応答オプション 選択確認応答オプション ( 通常の TCP のオプションとしては現れるべきでない ) タイムスタンプオプション?n 未知のオプション (n はオプションを表す番号 ) 2013/2/5 卒業論文審査会 23

24 p0f のシグネチャにおける IP TCP ヘッダの特徴リスト (1) df don t fragment ビットが 1 id+ don t fragment ビットが 1 で ID が 0 でない id- don t fragment ビットが 0 で ID が 0 ecn ECN(Explicit Congestion Notification) をサポート 0+ 0 でなければならないフィールドが 0 でない flow IPv6 のフロー ID 2013/2/5 卒業論文審査会 24

25 p0f のシグネチャにおける IP TCP ヘッダの特徴リスト (2) seq- シーケンス番号が0 ack+ 確認応答番号が0でないが ACKフラグが0 ack- 確認応答番号が0で ACKフラグが1 uptr+ 緊急ポインタが0でないが URGフラグが0 urgf+ pushf+ URG フラグが使用されている PUSH フラグが使用されている 2013/2/5 卒業論文審査会 25

26 p0f のシグネチャにおける IP TCP ヘッダの特徴リスト (3) ts1- タイムスタンプが 0 と指定 ts2+ 初期 SYN で 0 でないピアのタイムスタンプ opt+ オプションセグメントの中に 0 でないデータが続く exws 極端なウィンドウスケーリングファクタ (>14) bad 異常な TCP オプション 2013/2/5 卒業論文審査会 26

27 シグネチャの例 raw_sig = 4:114+14:0:1440:65535,0:mss,nop,nop,sok:df,id+:0 IP のバージョンが 4 TTL の観測値が 114 ホップ数の推定値が 14 IP オプションの長さが 0 最大セグメントサイズが 1440 バイト ウィンドウサイズが バイト window scaling factor が 0 以下の順に TCP オプションが指定されている 最大セグメントサイズオプション NOP オプション NOP オプション 選択確認応答オプション 以下の特徴が IP ヘッダと TCP ヘッダで観測された don t fragment ビットが 1 don t fragment ビットが 1 で ID が 0 でない ペイロードサイズが 0 バイト 2013/2/5 卒業論文審査会 27

28 CCCDATAset サイバークリーンセンターで収集したデータを基に作成された マルウェア研究用のデータセット マルウェア対策研究人材育成ワークショッ (MWS) のために作成されたもの マルウェア検体 攻撃通信データ 攻撃元データ の三つから構成 2013/2/5 卒業論文審査会 28

29 CCCDATAset マルウェア検体 ハニーポットで収集したマルウェア検体のハッシュ値 (MD5 SHA1) をテキスト形式で記載したファイル 攻撃通信データ ハニーポットの通信を tcpdump でパケットキャプチャした libpcap 形式のファイル 攻撃元データ ハニーポットで記録したマルウェア取得時のログ 2013/2/5 卒業論文審査会 29

30 提案手法 既存 OS MWS MWS パケット 着目!! 実ネットワークでキャプチャした通信 TCP Fingerprinting UNKNOWN パケット シグネチャの抽出 集約 シグネチャの作成 既存 OS のパケット 2013/2/5 卒業論文審査会 30

31 シグネチャの集約 各パラメータの集約方法 パラメータ 集約方法 IPのバージョン ワイルドカード 初期 TTL(Time to Live) 32, 64, 128, 255に切り上げる IPオプションの長さ そのまま mss(maximum segment size) ワイルドカード wsize(window size) そのまま window scaling factor そのまま TCPオプションの順番 そのまま IPヘッダとTCPヘッダで観測された特徴 そのまま ペイロードサイズ そのまま 2013/2/5 卒業論文審査会 31

32 本研究の新規性 既存研究 [1] を実ネットワークの通信に適用 それでもなおかつ UNKNOWN と判定されたパケットが本研究の分析対象 既存技術 (IDS 等 ) との連帯しての運用を想定 2013/2/5 卒業論文審査会 32

33 シグネチャ作成用データ シグネチャ作成に使用したデータ 実ネットワークおいて 2012/08/20/14:30~08/25/14:30 の間 早稲田大学の学内に向けて送信された SYN フラグの立っているパケット パケットサイズ :96 バイト データサイズ : 約 5G バイト SYN パケット総数 :61,380,197 パケット ( このうち 4,338,244 パケットが UNKNOWN なパケット ) 2013/2/5 卒業論文審査会 33

34 シグネチャの割合 ( パケット数 ) シグネチャ作成用データのシグネチャの割合 ( パケット数 ) 2013/2/5 卒業論文審査会 34

35 シグネチャの割合 ( 送信元 IP アドレス数 ) シグネチャ作成用データのシグネチャの割合 ( 送信元 IP アドレス数 ) 2013/2/5 卒業論文審査会 35

36 作成したシグネチャの個数 シグネチャの個数 MWS PROPOSAL_90 PROPOSAL_80 PROPOSAL_70 PROPOSAL_ 個 831 個 923 個 993 個 1,102 個 PROPOSAL_50 1,228 個 2013/2/5 卒業論文審査会 36

37 実験結果 : シグネチャごとのパケット数 既存 OS 各シグネチャの SYN パケット数 MWS シグネチャ UNKNOWN 提案手法合計 PROPOSAL_90 5,200, ,797 PROPOSAL_80 3,238,989 2,118,182 PROPOSAL_70 67,896,985 32,093,084 2,539,158 2,818, ,347,240 PROPOSAL_60 1,868,616 3,488,555 PROPOSAL_50 1,377,055 3,980, /2/5 卒業論文審査会 37

38 実験結果 : シグネチャごとの 送信元 IP アドレス数 各シグネチャの送信元 IP アドレス数 既存 OS MWS シグネチャ UNKNOWN 提案手法合計 PROPOSAL_90 164,036 9,465 PROPOSAL_80 89,307 86,047 PROPOSAL_70 2,587,668 29,206 52, ,392 2,766,961 PROPOSAL_60 19, ,734 PROPOSAL_50 6, , /2/5 卒業論文審査会 38

39 実験結果 : 送信先ポート番号の集計 PROPOSAL _90と判定されたパケットの送信先ポート番号の出現回数の上位 10 位 送信先ポート番号 出現回数 全体に占める割合 (%) 80 94, , , /2/5 卒業論文審査会 39

40 実験結果 : 送信先ポート番号の集計 PROPOSAL _70と判定されたパケットの送信先ポート番号の出現回数の上位 10 位 送信先ポート番号 出現回数 全体に占める割合 (%) 445 1,120, , , , , , , , , , /2/5 卒業論文審査会 40

41 実験結果 : 送信先ポート番号の集計 PROPOSAL _60と判定されたパケットの送信先ポート番号の出現回数の上位 10 位 送信先ポート番号 出現回数 全体に占める割合 (%) 445 1,426, , , , , , , , , , /2/5 卒業論文審査会 41

42 実験結果 : 送信先ポート番号の集計 PROPOSAL _50と判定されたパケットの送信先ポート番号の出現回数の上位 10 位 ポート番号 出現回数 全体に占める割合 (%) 445 1,439, , , , , , , , , , /2/5 卒業論文審査会 42

43 実験結果 : 送信先ポート番号の集計 PROPOSAL _90の内 BlackListにヒットしなかったパケットの 送信先ポート番号の出現回数の上位 10 位 送信先ポート番号 出現回数 全体に占める割合 (%) 80 1, % % % % % % % % % % 2013/2/5 卒業論文審査会 43

44 実験結果 : 送信先ポート番号の集計 PROPOSAL _70の内 BlackListにヒットしなかったパケットの 送信先ポート番号の出現回数の上位 10 位 送信先ポート番号 出現回数 全体に占める割合 (%) , % 80 7, % % % % % % % % % 2013/2/5 卒業論文審査会 44

45 実験結果 : 送信先ポート番号の集計 PROPOSAL _60の内 BlackListにヒットしなかったパケットの 送信先ポート番号の出現回数の上位 10 位 送信先ポート番号 出現回数 全体に占める割合 (%) , % 80 13, % % % % % % % % % 2013/2/5 卒業論文審査会 45

46 実験結果 : 送信先ポート番号の集計 PROPOSAL _50の内 BlackListにヒットしなかったパケットの 送信先ポート番号の出現回数の上位 10 位 送信先ポート番号 出現回数 全体に占める割合 (%) 80 17, % , % , % % % % % % % % 2013/2/5 卒業論文審査会 46

47 ポート番号の説明 (1) 445 番 ファイル共有サービス 脆弱性が知られている Welchia ワームはポート 445 番を攻撃することが知られている 5631 番 pcanywhere リモートデスクトップおよびリモートアクセスソフトウェア 脆弱性の存在が知られている 5900 番 VNC (Virtual Network Computer) アプリケーションで使用される 特定のアプリケーションで脆弱性が発見されている 2013/2/5 卒業論文審査会 47

48 ポート番号の説明 (2) 3389 番 Windows リモートデスクトップ このポートの脆弱性を突いた攻撃が報告されている 135 番 リモートのマシンで命令を実行する RPC 通信に用いられる W32/Blaster ワームは 感染拡大のためポート 135 番に不正なパケットを送信することが知られている 1433 番 Microsoft SQL Server がクライアントと通信する際に利用されるポートである SQL Slammer ワームはポート 1433 番に攻撃パケットを送信し感染を拡大する 2013/2/5 卒業論文審査会 48

49 ポート番号の説明 (3) 80 番 HTTP(Hypertext Transfer Protocol ) ポート 80 番では Web サーバが動作しているためサーバを探索する偵察行為あるいは脆弱性を狙った攻撃が多く観測される 22 番 SSH(Secure Shell ) ポート 22 番は SSH サーバが動作しているため サーバを探索する偵察行為あるいは脆弱性を狙った攻撃が多く観測される 2013/2/5 卒業論文審査会 49

50 ポート番号の説明 (4) ポート 443 番 HTTPS (Hypertext Transfer Protocol over Secure Socket Layer ) ポート 25 番 SMTP(Simple Mail Transfer Protocol ) ポート 6881 番 BitTorrent ポート 210 番 ANSI Z39.50 ポート 9090 番 Openfire 2013/2/5 卒業論文審査会 50

51 ポート番号の説明 (5) 8080 番 HTTP(Hypertext Transfer Protocol )alternate Webプロキシやキャッシュサーバで用いられる 8090 番 HTTP(Hypertext Transfer Protocol )alternate ポート8080の代わりに用いられる 2013/2/5 卒業論文審査会 51

52 参考文献 [1] 木佐森幸太, 下田晃弘, 森達哉, 後藤滋樹, TCP フィンガープリントによる悪意のある通信の分析, 情報処理学会論文誌, vol. 52, no. 6, pp , June [2] McAfee Labs, "McAfee 脅威レポート :2012 年第 2 四半期 ", McAfee, pan/pdf/threatreport/threatreport12q2.pdf, September [3] 畑田充弘, 中津留勇, 秋山満昭, マルウェア対策のための研究用データセット ~MWS 2011 Datasets ~, 情報処理学会シンポジウムシリーズ, Vol. 2011, CSS2011 (MWS2011), pp. 1-5,October /2/5 卒業論文審査会 52

53 参考文献 [4] p0f v3, [5] The Spamhaus Project, [6] JPCERT/CC, [7] SANS Institute: Internet Storm Center, /2/5 卒業論文審査会 53