JApan Network Operators' Group
JANOG45は北海道総合通信網株式会社株式会社ネクステックのホストにより開催します。

MOAI: Multiple Origin ASes Identification BGPの広告元特徴を取り入れた IP Prefix Hijacking検出を実装してみた

概要

BGPにはセキュリティ上の問題が複数存在する。

その中でも、Multiple Origin (MOAS)によるIP Prefix Hijackingの脅威はインターネット運用開始当初から発生しており、対策も多く研究されているものの改善には至っていない。

現在、BGPを活用したDDoS緩和システムなど、サービス多様化に伴い複数の組織が最終宛先となるMOASが増え、これまでの技術ではパフォーマンス・誤検知率ともに悪化が懸念される。

そこで、サービス多様化に対応し、悪性のMOASが検知でき、導入が容易な手法の検討を行い、MOAI (Multiple Origin ASes Identification)の実装を行った。MOAIでは、IPプリフィックスの更新情報より検出したMOASを多数の視点からフィルタし、被疑として残ったMOASに対し悪意のスコアリングを行う。評価として1年間の経路情報を用いてMOAIによる分析を行った。結果、一定の性能でIP Prefix Hijackingの検知が可能であり、またこの10年でMOASの数が増大しているもののその多くは良性であること、複数要因によりMOASの発生が増大していることも明らかとなった。

発表者

今井 宏謙 (東邦大学)

公開資料

MOAI: Multiple Origin ASes Identification BGPの広告元特徴を取り入れた IP Prefix Hijacking検出を実装してみた