(セッション表へ)

マルチメディア,分散,協調とモバイル(DICOMO2008)シンポジウム

セッション 6A  ネットワーク・セキュリティ(CSEC)
日時: 2008年7月10日(木) 13:50 - 16:00
部屋: ポラリス
座長: 竹森 敬祐 (KDDI研究所)

6A-1 (時間: 13:50 - 14:15)
題名ホストベース通信監視システムにおけるログ情報収集方式
著者*稲井 俊介, 白石 善明 (名古屋工業大学), 福田 洋治 (愛知教育大学), 溝渕 昭二 (近畿大学), 毛利 公美 (岐阜大学)
Pagepp. 1243 - 1251
Keywordネットワーク監視, 分散ログ保存, データ収集方式, セッション情報要約
Abstractシステムが出力するログ情報は,機器やその利用者の状態,挙動を知る上で欠かすことのできない情報である.効率的なログ情報の収集や保存,管理の技術は,システムを安定的かつ効果的に運用するために重要である.通信のログ情報を用いて通信監視を行う製品では,ネットワーク上のLANの出入り口やセグメントごとに設置されたルータのところに,専用ハードウェア(以下,プローブと呼ぶ)が設置されている.プローブが設置されたルータを通過する通信パケットだけが取得されるため,セグメント内のホスト同士の通信のログ情報の取得は困難である.我々は,監視対象のネットワークにおいて既存製品では取得が困難であった通信パケットをすべて取得し,ホスト同士の通信の詳細を把握することを目指している.本論文では,監視対象ホストにおいて通信のすべて記録するという新しい監視モデルを想定して,そこで考えられる課題のうち,各ホストごとの通信ログの集約に注目し,ログ情報の収集の一方式を提案する.

6A-2 (時間: 14:15 - 14:40)
題名Evanescent Blacklisting for Automated Network Attack Mitigation
著者*Erwan Le Malecot (Kyushu University), Pascal Jinkoji (Supelec), Yoshiaki Hori, Kouichi Sakurai (Kyushu University)
Pagepp. 1252 - 1257
KeywordBlacklist, Firewall, Network, Security, Mitigation
Abstract1. Abstract With a skyrocketing number of proposed services, TCP/IP networks have been adopted by numerous organizations as part of their infrastructure. Unfortunately, that diffusion quickly attracted the attention of malicious people and as a result, TCP/IP networks are now facing a massive and incessant flow of attacks. A large portion of this flow is generated by automated processes such as scanning tools and worms. To counter those attacks, system administrators usually rely on Intrusion Detection Systems (IDSs) coupled up with the blacklisting of offensive hosts. However, that approach is showing its limits with the multiplication and dissemination of the attackers. In this paper, we propose to adapt current mitigation techniques to those new traits of attackers by associating a fading mechanism to blacklists. 2. Background In order to cope with network attacks, system administrators use active devices, typically firewalls. A firewall is a device that inspects the traffic exchanged by specified networks and, denies or allows the associated packets to pass based on a set of rules. The rules match selected packet attributes and specify the actions to perform in case of successful matches. Thus, by applying intrusion detection techniques, system administrators can gather lists of IP addresses corresponding to malicious hosts and then use firewalls to deny further traffic coming from those hosts (i.e. blacklisting). Still, this approach is showing its limits: IP addresses are increasingly assigned dynamically and reassigned frequently, attackers can forge suspicious packets seemingly coming from genuine hosts (i.e. spoofing), or simply can control many hosts (i.e. botnets). Consequently, blacklists should frequently be purged to avoid being overloaded by outdated information, and more importantly, to avoid denying access to previously spoofed genuine hosts. But, concurrently, attackers can also slow down their packet emission rate to try to evade such blacklisting mechanisms. 3. Evanescent Blacklisting Scheme System administrators are then confronted with contradictory directives as mitigating such slow attacks would require long term blacklisting, which is quite incompatible with the previously mentioned constraints. To deal with that rising conflict, we propose an original blacklisting scheme based on the use of random packet dropping as a way of penalizing initially blacklisted IP addresses while providing (mistakenly judged) genuine hosts a chance to pass traffic through the regulating system. The percentage of random packet dropping associated with an IP address, flagged by the system as potentially malicious, is to decrease progressively from 100% to finally become null after a specified amount of time. So a flagged IP address goes through several statuses, from fully banned to fully trusted again. If an IP address happens to be continuously sending malicious traffic, it is to be kept as untrusted, and thus will be continuously penalized. 4. Leads In order to validate the proposed approach and experimentally determine several required parameters, we started to implement our scheme using several Commercial Off-The-Shelf (COTS) firewalling frameworks. The initial testing results are really encouraging so we plan to polish our prototype to finally deploy it on a live network portion.

6A-3 (時間: 14:40 - 15:05)
題名IPSec通信が可能なアドレス変換によるIPv6機器の位置透過なアクセス手法
著者*黒木 秀和 (ユビテック ユビキタス研究所/静岡大学創造科学技術大学院), 井上 博之 (広島市立大学大学院情報科学研究科), 荻野 司 (ユビテック), 石原 進 (静岡大学創造科学技術大学院)
Pagepp. 1258 - 1265
Keyword機器管理, 固定アドレス, アドレス変換, IPv6, IPSec
Abstract近年,IP通信機能が搭載された情報家電やセンサデバイスなどの機器が製品化されている.これらの機器は,機器ユーザのネットワークに対応したアドレスが付与されるが,つねに同一のIPアドレスでこれらの機器と通信できれば,遠隔から機器の保守,操作,監視を行うことが容易になる.筆者らは,双方向のアドレス変換機構を持つアドレス変換装置を用い,固定のIPv6アドレスを用いた機器と他ノードの通信を可能とする手法LTA6を提案している.しかし,この手法では,機器の保守,操作,監視を行う端末と機器の間でIPSec通信ができないという問題があった.本稿では,これらの間のIPSec通信を可能とするアドレス割当て手法を提案する.本手法では,アドレス変換の前後でICMPv6,TCP,UDPヘッダ内に含まれるチェックサムに変更が生じないように動的なアドレスを割当てることで,IPSec通信を可能にしている.また,チェックサムの書き換えを不要とすることで,アドレス変換装置の処理負荷の低減を可能にしている.

6A-4 (時間: 15:05 - 15:30)
題名セキュアマルチキャストの通信量効率化
著者*伊藤 隆, 米田 健 (三菱電機株式会社 情報技術総合研究所)
Pagepp. 1266 - 1269
Keyword鍵管理, 放送型暗号, マルチキャスト, Subset Cover

6A-5 (時間: 15:30 - 15:55)
題名構成証明機能を持つ車内通信プロトコルの提案
著者*吉岡 顕, 小熊 寿, 西川 真 (トヨタIT開発センター), 繁富 利恵, 大塚 玲, 今井 秀樹 (産業技術総合研究所情報セキュリティ研究センター)
Pagepp. 1270 - 1275
Keyword車載システム, セキュリティ, プロトコル, 構成証明
Abstract1.序 近年,車両内の構成部品について電子制御対象となるものの増加, それらをつなぐ通信部分について標準化されたネットワーク技術の 導入がすすみ,車両内LANは一般のオフィスや家庭にあるLANと類似 した形態となってきた. また,ITS業界では,車車間通信機能の全車両への搭載とそれを 用いた交通事故低減アプリケーションが議論されている.これは, 各車両が自車の位置,速度等の状態情報を周囲にブロードキャスト し,それによってある車両は周囲の車両の今後の動きを予測できる ことから,衝突事故の可能性がある場合に,注意喚起,警告あるい は介入的に制御することで,事故の低減をねらうものである. このため,悪意ある者が誤った情報を車車間通信で送出すること で交通を麻痺させるようなことが可能となる.言い換えれば,車は 社会を支えるインフラの一部となったということであり,電力網, 鉄道制御といった SCADA システムと同様のセキュリティを求められ る. これを実現するには,車両内に搭載されネットワーク化されるコン ピュータノード(車載器あるいは ECUと呼ぶ.本稿では,以下 ECU と記す)が正しい意図したプログラムで動作していることを保証す る仕組み,すなわち構成証明が必要となる.しかしながら,車両内 に搭載される ECU は,一般のPC 等に比べ低リソースなものである ため,そこで利用されている構成証明の方式をそのまま利用するこ とはできない. このような背景から,本稿では,低リソースな多数のノード + ややリソースを持つ少数のノードがネットワーク化されている という条件において, それら全体が協調して構成証明を実現する ためのノード間での認証 (Attestation) 方式を提案する. 2.必要機能 提案方式では,下記の基本機能を実現する. ・車内LANにおいて各 ECU は,ソフトウェア構成が許可された版で あることが確認された ECU とのみ,通信可能となる ・各 ECU 間通信における改竄防止 ・車両においては,修理により ECU そのものの交換,各 ECU に おいて搭載プログラムをより新しい版への交換の可能性があり, これらの出荷後の変更に対しても正しく ECU の構成が認証され る 前2項により,車両状態を測定するセンサー部から通信によるデー タの移動,ECU における加工,車車間通信による発信という全ての フェーズにおいて,改竄できる可能性を回避できる. 3.提案手法の概要 まず,車両内で Attestation を専門に行う Attestation Master ECU (以下単に Master ECU と記す) を新規に導入する.Master ECU は 予め信頼できるセンターとの通信により,自車両に搭載される可能 性のある全ノードの種別とプログラムの版に関するデータベースを 持つ.各ノードは,起動時に自搭載プログラムのハッシュ値を Master ECU に報告し,Master ECU は保有データベースを参照し,それが 許可された版のものであるかを確認する.確認された場合のみ,当 該ノードに対し,Attestation Token を発行する.各送信ノードは, 他ノードとの通信に際し全通信パケットにおいて Attestation Token をつけ,各受信ノードは Attestation Token を確認できた場合のみ その通信内容を受理する. 4.プロトタイプ試作による評価 プロトタイプ試作により, ・3章で提案した手法が2章で述べた機能を満たしていること ・一般に普及している TPM チップを用いた構成証明に比べ,同一 CPU でおよそ 100 倍高速であること,言い換えると 100 分の1 の低リソースな ECU でも同等機能を実現できること を確認した.