マクロ解析システム

マクロ解析システム

先に述べたようにnicterのシステムは主にマクロ解析システム、ミクロ解析システム、そして相関分析システムによって構成されている。これらの各機能を以下で解説する。

マクロ解析システムは、複数の観測地点におけるネットワークモニタリングで得られたトラフィックを入力として受けつける。nicterは現 在、日本国内の10万を超える未使用IPアドレスを観測している。未使用IPアドレスには本来、外部からのパケットは到着しないはずであるが、実際には相 当数のパケットが到着する。これらのパケットの多くは、マルウェアの感染行為の第一段階であるスキャンや、DoS攻撃によってもたらされるものである。

このような、未使用IPアドレスに到着するトラフィックを収集・分析することで、広域ネットワークにおける攻撃活動の傾向を把握することが 可能になる。マクロ解析システムは、分析者による直感的なインシデントの検出を支援する「可視化エンジン」と、トラフィックの自動分析を行う「分析エンジ ン」からなる。以下では、これらエンジンのうちの一部についての概要を述べる。

まず分析者による直感的なインシデントの検知を支援するため、イベントの可視化処理を行う可視化エンジンを紹介する。

図2（上）は、世界地図を用いた可視化エンジンである。ここではnicterに飛来する攻撃トラフィックのIPアドレス情報から送信元の地 理情報をつきとめて、世界地図上でアニメーション表示をしている。これにより、例えば世界中からの分散サービス妨害攻撃（DDoS攻撃）や、ボットネット がその感染を広げる様子などを直感的に把握し、その後の詳細な分析へと進むことができる。

また、図2（下）の三次元可視化エンジンでは、ネットワークトラフィックを三次元空間にあてはめてアニメーション表示している。ここでは、 攻撃の前段階で行われるスキャンの挙動が特徴的な形状として表現されるため、インシデントの判定や各種の詳細分析を開始するためのきっかけを得ることがで きる。

次に自動分析エンジンについて紹介する。マクロ解析システムではインターネット上で発生するさまざまなイベント（トラフィックデータや、 ファイアウォールのログなど、ネットワーク上で起こった事象の記録）を定常的に収集している。そして、ここで得られたデータから振る舞い分析、変化点分析 といったアルゴリズムを用いて、実時間でのインシデントの自動検出を行うのが自動分析エンジンだ。

振る舞い分析は個々のホストの攻撃パターンの類型化を行い、新規の攻撃パターンを検出した際にアラートをあげることができる。一般に新種の 攻撃パターン持つマルウェアは、新種のマルウェア（＝注意喚起の対象）であるため、インシデントの自動分析には必要不可欠な技術である。一方、変化点分析 システムはDDoS攻撃やボットネットからの攻撃を想定して、攻撃トラフィック量の急激な変化を自動検知するための技術として用いられている。

ミクロ解析システムと相関分析システム

ミクロ解析システムではマルウェア検体収集機構によって得られたウイルスやワーム、ボットなどの検体に対して、逆アセンブルによるコード解 析（ミクロ静的解析システム）や仮想環境内での挙動分析 （ミクロ動的解析システム）を行い、その行動パターンを抽出する。そして、これらの情報をデータベースに蓄積するとともに、マルウェア駆除ツールの生成ま でを行う。

上述したように、マクロ解析ではネットワーク上で発生しているインシデントの現象を捉えることができ、一方、ミクロ解析ではインシデントの 原因と考えられるマルウェアの挙動を把握することができる。よって双方の解析結果から比較可能なパラメータを抽出し、照合することで、発生中のインシデン トの原因を特定することが可能となる。

nicterの基盤となる技術は以上である。次に、nicterの可視化システムの動画を用いて実際にインシデントが検出された時の状況を再現してみたい。