JApan Network Operators' Group
JANOG41は株式会社インターネットイニシアティブのホストにより開催します。

簡単お手軽異常検知

概要

snort, Suricata, broなどのオープンソースなIDSまたはフォレンジックツールを利用した簡単な異常検知のしくみを試作。

通常 IDSでは,攻撃を検出するため,悪意のあるトラフィックそのものを検出するルールを作成し,それが生成したアラートを他の装置のログなどと突き合わせ解析を行う。

今回の試作ではオープンソースなIDSを利用し,攻撃そのものの検知ではなく,正当な通信とは異なる,いわゆる異常なイベントを見つけることを目的。具体的には,IDSに全パケットキャプチャを入力し,正当を含むすべてのデータを圧縮してテキストベースでひたすら保管。

E.g. DNSのリクエスト&レスポンス
192.168.1.1:1025 -> 172.16.1.1:53 A www.exapmle.com ID:12345 10.1.1.1

また,以下は異常と判断するための情報

  • 一定期間の運用後のトラフィックプロファイリング(E.g. DNSクエリはだいたい X byteぐらいまで)
  • 資産管理システム(E.g. セグメントAにはクライアント端末しかありません)
  • 組織の持つセキュリティポリシ(E.g. telnetは使いません)

上記の圧縮テキストデータに対し,正常な情報をキーとした簡単な検索条件を適用し,そこから異常なイベントを検出。

発表者

石川 章史 (シスコシステムズ合同会社)

資料

簡単お手軽異常検知:発表資料 (石川、PDF)