TOPサーバ構築・運用【ネットワーク教習所】未来が近づく、新世代ネットワーク!> 第5回:今この瞬間の攻撃を分析・可視化するnicter (2/3)

【ネットワーク教習所】未来が近づく、新世代ネットワーク!

【ネットワーク教習所】
未来が近づく、新世代ネットワーク!

第5回:今この瞬間の攻撃を分析・可視化するnicter

著者:情報通信研究機構 衛藤 将史

公開日:2008/03/31(月)

マクロ解析システム

先に述べたようにnicterのシステムは主にマクロ解析システム、ミクロ解析システム、そして相関分析システムによって構成されている。これらの各機能を以下で解説する。

マクロ解析システムは、複数の観測地点におけるネットワークモニタリングで得られたトラフィックを入力として受けつける。nicterは現在、日本国内の10万を超える未使用IPアドレスを観測している。未使用IPアドレスには本来、外部からのパケットは到着しないはずであるが、実際には相当数のパケットが到着する。これらのパケットの多くは、マルウェアの感染行為の第一段階であるスキャンや、DoS攻撃によってもたらされるものである。

このような、未使用IPアドレスに到着するトラフィックを収集・分析することで、広域ネットワークにおける攻撃活動の傾向を把握することが可能になる。マクロ解析システムは、分析者による直感的なインシデントの検出を支援する「可視化エンジン」と、トラフィックの自動分析を行う「分析エンジン」からなる。以下では、これらエンジンのうちの一部についての概要を述べる。

まず分析者による直感的なインシデントの検知を支援するため、イベントの可視化処理を行う可視化エンジンを紹介する。

図2(上)は、世界地図を用いた可視化エンジンである。ここではnicterに飛来する攻撃トラフィックのIPアドレス情報から送信元の地理情報をつきとめて、世界地図上でアニメーション表示をしている。これにより、例えば世界中からの分散サービス妨害攻撃(DDoS攻撃)や、ボットネットがその感染を広げる様子などを直感的に把握し、その後の詳細な分析へと進むことができる。

また、図2(下)の三次元可視化エンジンでは、ネットワークトラフィックを三次元空間にあてはめてアニメーション表示している。ここでは、攻撃の前段階で行われるスキャンの挙動が特徴的な形状として表現されるため、インシデントの判定や各種の詳細分析を開始するためのきっかけを得ることができる。

次に自動分析エンジンについて紹介する。マクロ解析システムではインターネット上で発生するさまざまなイベント(トラフィックデータや、ファイアウォールのログなど、ネットワーク上で起こった事象の記録)を定常的に収集している。そして、ここで得られたデータから振る舞い分析、変化点分析といったアルゴリズムを用いて、実時間でのインシデントの自動検出を行うのが自動分析エンジンだ。

振る舞い分析は個々のホストの攻撃パターンの類型化を行い、新規の攻撃パターンを検出した際にアラートをあげることができる。一般に新種の攻撃パターン持つマルウェアは、新種のマルウェア(=注意喚起の対象)であるため、インシデントの自動分析には必要不可欠な技術である。一方、変化点分析システムはDDoS攻撃やボットネットからの攻撃を想定して、攻撃トラフィック量の急激な変化を自動検知するための技術として用いられている。

図2:世界地図可視化エンジン(上)と三次元可視化エンジン(下)

ミクロ解析システムと相関分析システム

ミクロ解析システムではマルウェア検体収集機構によって得られたウイルスやワーム、ボットなどの検体に対して、逆アセンブルによるコード解析(ミクロ静的解析システム)や仮想環境内での挙動分析 (ミクロ動的解析システム)を行い、その行動パターンを抽出する。そして、これらの情報をデータベースに蓄積するとともに、マルウェア駆除ツールの生成までを行う。

上述したように、マクロ解析ではネットワーク上で発生しているインシデントの現象を捉えることができ、一方、ミクロ解析ではインシデントの原因と考えられるマルウェアの挙動を把握することができる。よって双方の解析結果から比較可能なパラメータを抽出し、照合することで、発生中のインシデントの原因を特定することが可能となる。

nicterの基盤となる技術は以上である。次に、nicterの可視化システムの動画を用いて実際にインシデントが検出された時の状況を再現してみたい。 次のページ




独立行政法人 情報通信研究機構  衛藤 将史
著者プロフィール
独立行政法人 情報通信研究機構 衛藤 将史
2005年、情報通信研究機構入所。以来、ネットワーク運用管理技術、アプリケーショントレースバック技術、nicterプロジェクトなど、情報通信セキュリティ技術の研究開発に従事。nicterプロジェクトでは主にスペクトラム解析を応用したマルウェアの類似性検証手法の研究に取り組む。童顔。


INDEX
第5回:今この瞬間の攻撃を分析・可視化するnicter
  インターネットのセキュリティ事情
マクロ解析システム
  衝撃!これがボットネットだ!