openflowスイッチを用いた 学習型の通信集約法 -...
TRANSCRIPT
OpenFlowスイッチを用いた
学習型の通信集約法
早稲田大学大学院基幹理工学研究科情報理工学専攻 後藤滋樹研究室 修士2年
山田 建史 (Kenji YAMADA)
2013/2/8 修士論文審査会 1
Agenda
2013/2/8 修士論文審査会 2
研究の背景・目的
既存手法
概要と問題点
提案手法
概要と詳細
実証実験
実験結果
まとめ
今後の課題
国際的なサイバー攻撃が頻発
ボットネットの活動の調査が追いつかない
2013/2/8 修士論文審査会 3
ホスト
2008年以降ボットネットは拡大 [1]
Internet
研究の背景1
背景
目的
既存
手法
提案
手法
実験
結果
まとめと
課題
サーバ
攻撃者
ボットネット
[1] nicter レポート ~ 長期ネットワーク観測に基づく攻撃の変遷に関する分析 〜
http://www.nict.go.jp/publication/shuppan/kihou-journal/kihou-vol57no3_4/kihou-vol57no3-4_0203.pdf
多様な攻撃
攻撃の多様化
情報量増大に伴い悪意のある通信の問題が顕在化
広域の調査と防御をもって
攻撃を柔軟に扱う必要性
研究の目的1
2013/2/8 修士論文審査会 4
既存の悪意のある通信の観測や防御に必要な機器
侵入検知システム(IDS)
侵入防御システム(IPS)
ファイアウォール
観測を行う範囲を広げると
・設備投資によるコスト増大
・機器の運用や設定にかかる人的なコスト
実装が複雑、かつ機器間の連携が容易ではない
ネットワーク機器での制御
観測機器の設置・維持によるコストを抑えられる
広域な通信を効率良く制御できる
背景
目的
既存
手法
提案
手法
実験
結果
まとめと
課題
研究の目的2
2013/2/8 修士論文審査会 5
広域な通信を一元管理できるネットワーク管理システムが必要
スイッチの機能を転送部と制御部に独立
制御部による転送部への一元管理
既存のネットワークに影響を与えない
導入後安定して通信を行うことが可能
広域通信を効率良く制御し、悪意のある通信を集約する
IT利用の利便性と情報セキュリティ対策との両立
OpenFlowスイッチング技術
柔軟かつ集約的な制御
背景
目的
既存
手法
提案
手法
実験
結果
まとめと
課題
OpenFlowの動作
2013/2/8 修士論文審査会 6
Secure
Channel
Flow
Table
OpenFlow Switch
Software
Hardware
Controller
1. 最初のパケットを送信
2. フローテーブル未登録より
コントローラへパケットを転送
3. 処理を決定
Rule Action Stats
4. 処理をフローテーブルに登録し
パケットの処理を行う 5. 以降同じフローの
パケットは同様に処理
フローの定義とフローテーブルの構成
2013/2/8 修士論文審査会 7
フローの定義
きめ細かい通信制御や
柔軟な設計や構築が可能
機能の独立
スケールアウト可能
2013/2/8 修士論文審査会 8
ハニーポット
O/Fスイッチ1
O/Fスイッチn
O/F Controller ホスト
Controller制御
柔軟かつ動的なポリシー
柔軟かつ安定したセキュアなシステム
Internet
広範囲の通信をOpenFlowスイッチにより選別、誘導
選別した通信をハニーポットに集約 ※ O/F:OpenFlow
ポート番号
送信元IPアドレス
OpenFlowによる悪意のある通信の集約 [山田, 2011]
背景
目的
既存
手法
提案
手法
実験
結果
まとめと
課題
研究の背景2(既存手法の課題と問題点)
2013/2/8 修士論文審査会 9
コントローラのポリシーが静的である
あらかじめ定めた値に依存してしまう
とりこぼし(false negative)が多い
# false positive を避けるため
false positive を小さくする
動的なポリシーの策定が必要
※ O/F:OpenFlow ポート番号
送信元IPアドレス
ポリシー以外の通信は
そのまま転送してしまう
背景
目的
既存
手法
提案
手法
実験
結果
まとめと
課題
研究の目的2
2013/2/8 修士論文審査会 10
IDSとの連携や機械学習による
動的ポリシーの策定
通知⇨学習⇨フィードバックによる
より柔軟できめ細かく制御
収集率を向上させ
false negativeを抑える
※ O/F:OpenFlow
更新されたポリシー
を適用して転送
O/Fスイッチ
O/F Controller
学習&判定モジュール
IDS(snort)
アラート 処理決定&
フィードバック
背景
目的
既存
手法
提案
手法
実験
結果
まとめと
課題
研究目標
2013/2/8 修士論文審査会 11
OpenFlowスイッチング技術を利用した
学習型攻撃通信収集機構を提案し、
既存のネットワークに影響を与えることなく
より多くの攻撃通信を集約する
背景
目的
既存
手法
提案
手法
実験
結果
まとめと
課題
提案手法概要
2013/2/8 修士論文審査会 12
コントローラと機械学習による制御やIDS(侵入検知システム)の連携
通知⇨学習⇨フィードバックによる循環システム
ハニーポット
O/Fスイッチ
Controller
ホスト
※ O/F:OpenFlow
Internet
IPアドレスとポート番号による
学習&判定モジュール
処理決定&
フィードバック
通知
IDS
送信元IPアドレス
ポートポリシー
循環システムによってより柔軟な制御を実現し
ハニーポットへ多くの通信を収集する
背景
目的
既存
手法
提案
手法
実験
結果
まとめと
課題
2013/2/8 修士論文審査会 13
機械学習(SVM:サポートベクターマシン)との連携
SVMによるIPアドレス判定モジュールを導入 [2]
※ O/F:OpenFlow
④ ポリシーに設定されていない
攻撃はホストへ届く
O/Fスイッチ
O/F Controller
③ 処理決定&
フィードバック
IPブラックリストを用いる
より動的でより柔軟な
判定が可能
精度は100%ではない
誤って追加してしまった通信は
ポリシー適用外に登録することで
除外可能(但し、手入力) → false positive への対応
[2] Daiki Chiba, Kazuhiro Tobe, Tatsuya Mori, Shigeki Goto, “Detecting Malicious Websites by Learning IP Address Features,"
Proc. 12th IEEE/IPSJ International Symposium on Applications and the Internet (SAINT2012), pp.29--39, Izmir, Turkey, Jul. 2012.
IPアドレス判定
モジュール
① コントローラへの
問い合わせ
②IPアドレスの悪性判定
既存ネットワーク環境に影響を与えずに導入可
提案手法詳細1−1:機械学習概要
背景
目的
既存
手法
提案
手法
実験
結果
まとめと
課題
提案手法詳細1−2:機械学習詳細
14
Daiki Chiba, Kazuhiro Tobe, Tatsuya Mori, Shigeki Goto, “Detecting Malicious Websites by Learning IP Address Features,"
Proc. 12th IEEE/IPSJ International Symposium on Applications and the Internet (SAINT2012), pp.29--39, Izmir, Turkey, Jul. 2012.
ラベル IPアドレス 特徴ベクトル
+1 192.55.10.80 {1,1,0,0,0,0,0,0,…}
-1 10.0.0.1 {0,0,0,0,1,0,1,0,…}
-1 205.10.100.2 {1,1,0,0,1,1,0,1,…}
… … …
修士論文審査会 2013/2/8
悪性、及び通常の通信を行うホストのIPアドレスがそれぞれある一定のネットワークアドレス空間に
集中しやすい性質を活用して、SVMによってIPアドレスの構造から悪性のIPアドレスを判断する
悪意のある通信を行うIPアドレス
正常な通信を行う IPアドレス
悪意のある通信の特徴ベクトル
正常な通信の 特徴ベクトル
訓練データの抽出 SVMによるアドレス訓練
特徴ベクトルから成る
データセット SVM 訓練モデル
SVM
アドレス判定
対象IPアドレス スコア
悪性
正常
抽出例
背景
目的
既存
手法
提案
手法
実験
結果
まとめと
課題
提案手法詳細2:IDS
2013/2/8 修士論文審査会 15
IDS(snort)との連携
※ O/F:OpenFlow
ポリシーに設定されていない
攻撃はホストへ届く
O/Fスイッチ
O/F Controller
ポリシーデータベース
IDS(snort)
アラートの通知 フィードバック
アラートの内容例
危険度 高
IPアドレス 10.0.0.5
ポート番号 445
ポリシーを保持する
データベースへ登録
※ 誤って追加してしまった通信は
ポリシー適用外に登録することで
除外可能(但し、手入力)
背景
目的
既存
手法
提案
手法
実験
結果
まとめと
課題
提案手法まとめ
2013/2/8 修士論文審査会 16
コントローラの機械学習による制御やIDSの連携
O/Fスイッチ
Controller
ホスト
※ O/F:OpenFlow
IPアドレス判定モジュール
IDS
送信元IPアドレス
ポートポリシー
ポリシーデータベース
・既存ネットワーク環境に
影響を与えずに導入可
・未知の攻撃元にも対応
false negativeの通信を
補完する
静的ポリシーによる
制御
動的ポリシーによる柔軟な制御
背景
目的
既存
手法
提案
手法
実験
結果
まとめと
課題
比較実験:実験内容
2013/2/8 修士論文審査会 17
仮想環境上に環境構築を行う
ハニーポット O/Fスイッチ
Controller ホスト
※ O/F:OpenFlow
サーバ
IPアドレス判定モジュール
IDS
送信元IPアドレス
ポートポリシー ポリシーデータベース ①
②
③
比較実験に用いる手法 ・既存手法1:①(ただしポート番号のみ) ・既存手法2:①のみ
・提案手法1:①+②
・提案手法2:①+③
・提案手法3:②+③
背景
目的
既存
手法
提案
手法
実験
結果
まとめと
課題
iperf +hping3
実験1:通信の収集率
攻撃通信全体に対する通信の割合
実験2:スループット
サーバ・クライアント間
実験結果1:収集率
2013/2/8 修士論文審査会 18
※ 悪意のある通信全体に対する集約できた通信の割合
ポート番号のみ
ポリシールータ
ポート番号+IPアドレス
既存手法2+IDSアラート
既存手法2
+
機械学習
既存手法2
+
IDSアラート
+
機械学習
背景
目的
既存
手法
提案
手法
実験
結果
まとめと
課題
修士論文審査会
実験結果2:平均スループット
2013/2/8 19
平均スループット
(Mbps) 分散
既存手法1 14.36 0.76
既存手法2 13.51 0.58
提案手法 13.27 0.59
既存手法1
ポート番号のみ
ポリシールータ 既存手法2 OpenFlow
IPアドレス+ポート番号
提案手法 OpenFlow
機械学習+IDSアラート
背景
目的
既存
手法
提案
手法
実験
結果
まとめと
課題
まとめと考察
2013/2/8 修士論文審査会 20
OpenFlowを用いた悪意のある通信の収集に有効な学習型システム
静的ポリシーだけではなく動的ポリシーの導入
OpenFlowコントローラ部にIDSとSVMを連携
集約率に大きな改善がみられ、リアルタイムに通信を制御できた。
スループットも遜色なく、安定した通信が観測された。
提案手法は、既存のネットワークに影響を与えることなく
悪意のある通信をより多く集約できるという優位性が示された。
背景
目的
既存
手法
提案
手法
実験
結果
まとめと
課題
提案
結果
今後の課題
2013/2/8 修士論文審査会 21
ハニーポット
O/Fスイッチ
Controller
クライアント
※ O/F:OpenFlow
IPアドレスとポート番号による
判定モジュール
通知
IDS
サーバ
処理決定&
フィードバック
1. iperfによる
ファイルダウンロード
2. hping3による
攻撃通信の再現
転送
① false positive
の検討
② O/Fコントローラの冗長化
③ 実環境での実験
背景
目的
既存
手法
提案
手法
実験
結果
まとめと
課題
ご清聴ありがとうございました
2013/2/8 修士論文審査会 22
OpenFlowの動向
2008年
「OpenFlowスイッチングコンソーシアム」
スタンフォード大学を中心としてOpenFlowを提唱
2009年
NECを中心に研究が進み、Interopなどで展示。段々と注目を集める
後藤研でも石井翔さん(12卒)が卒論でOpenFlowを利用
2011年
「Open Networking Foundation(ONF)」
新しいネットワーキングアプローチ「Software-Defined Networking(SDN)」 推進
学術研究から製品化の流れを汲み取り、本格的な規格策定
2012年
「Open Network Research Center(ONRC)」
OpenFlowを利用した新世代ネットワークに関する研究開発機関
SDNを実現するソフトウェア群の研究開発を行う
2013/2/8 修士論文審査会 23
提唱
研究
標準化
開発
2013/2/8 修士論文審査会 24
関連事例(Radware社の取り組み:補足)
2013/2/8 修士論文審査会 25
2013/2/8 修士論文審査会 26
ルータにポリシーを与え検知した通信をハニーポットに集約
特定のポート番号を元にルーティング
Iptablesとiproute2を組み合わせる
ハニーポット
ホスト
Internet
ポート番号による
ポリシールーティング
ルータ
ルータ
・エントリ数が大きくなるとルータに負荷がかかる → ポート番号でのみの制御 ・制御内容の適用はルータ自身にのみ →効率が悪く、スケールアウトしない
関連研究:ポリシールーティングを用いたネットワークハニーポットの構築 白畑真, 南政樹,村井純(情報処理学会研究報告(DSM-038), pp.55-58, 2005)