研究題目:
不正アクセス者の行動分析用おとりシステムの実装と評価
Implementation and Evaluation of Decoy System for Analyzing Network Intruders’ Behavior
研究者:
澁谷芳洋(Yoshihiro Shibuya)
研究の概要:
インターネット利用人口は拡大しており,今日では個人,組織を問わずネットワークの使用 は欠かせないものとなっている.インターネットは多種多様なサービスを提供し,なくてはな らないものであるが,その反面,不正アクセスの問題も急増している.
しかし,実際の不正アクセスがどのようなものであるかを認知する機会が少なく,見えない 世界でのセキュリティに対する認が困難である.
そこで本論文では不正アクセス対策の一つとなっているおとりシステムの中でも,特に Honeynet Project が提唱している対話型に着目した.対話型おとりシステムとは,OS レベ ルでおとりを実現するものである.アプリケーションレベルで実現するおとりとは異なり,OS レベルでは限りなく実際のシステム環境にい形で構築することができる.そして不正アクセ ス者におとりの中を自由に行動させ,気付かれないように行動記を取得し,その結果得られ た取得データを分析することにより,既知の攻撃方法のみならず,未知の脆弱性や行動を記 することが期待できる.
ところが,対話型おとりシステムは概念が新しく,具体的なシステム構築例および,運用 結果,問題点についての公開情報が少ない.そして,当初公開されていた数少ない情報を参考 に実際に構築,運用してみたところ,公開情報だけではおとりシステムの運用に支障を来すこ とが明らかになった.そこで,不する機能および運用形態を独自に工夫,加した上でさら に運用を重ねた.その結果,攻撃から侵入,その後の行動に至るまでの一連の流れを取得する ことができた.さらに,析上の問題,不正アクセス者の特性,実用化に向けて安全に運用す るための運用形態の問題等の知見が得られた.これに基づき,今後のおとりシステムの可能性 について,不正アクセス者の行動分析の他に考えられる利用例について提案し,最後に今後の 展望と題について述べる.
Abstract:
With the rapid increase of the number of Internet users, now network use is indispensable to individuals and to organization. Although Internet provides us various services and our lives depend on it heavily, we have many problems of suspicious accesses.
However, there are few opportunities to recognize what an actual exploit is, and it is difficult to recognize of the network security, that is not usually visible.
In this paper, I focused on the decoy system, especially highly interactive level one proposed by Honeynet Project. Highly interactive level decoy system is the OS level decoy system. OS level decoy system can be deployed closely as the real system environment. We can record all action of network intruders while they act in the decoy freely. So highly interactive level decoy system is used not only for known activities, but also unknown activities or vulnerabilities.
Though, the concept of highly interactive level decoy system is new, the information on the system is not fully available. Based on the references of the highly interactive level decoy system, I have built my own system and conducted operations of the system. It is found those information is not enough for complete operation of the decoy system. And I added new features that were necessary and repeated operating. Then new decoy system can record network intruders’ behavior. I found the issues of analysis method, the features of network intruders’ behavior, and some safety problems of the operation form. From point of views, I propose some applications of the decoy addition to analysis of network intruders’ behavior. Finally I describe future works for the decoy system.
発表論文:
- 澁谷芳洋, 小池英樹, 高田哲司, 安村通晃, 石井威望, 高対話型おとりシステムの運用経験に関する考察, 情報処理学会論文誌, vol.45 no.8, pp.1921-1930 (Aug. 2004).
- 澁谷芳洋, 小池英樹, 高田哲司, 安村通晃, 石井威望, 高対話型おとりシステムの運用経験と評価 , CSS2003 (Computer Security Symposium 2003), (Oct. 2003).