Honeynetと外部ネットワークの接続点に設置するHoneywallのインストールと設定を容易にするCD-ROMの紹介記事。これはカスタマイズが可能になっており,それゆえ当初の目的(Honeynetの一構成要素)以外にも稼働している正規のネットワークを不正行為から保護し、データを収集するためにも使われ始めているという話が書かれている。
The Honeywall CD-ROM,
George Chamales, The University of Texas at Austin,
IEEE Security & Privacy, pp.77--79, Vol.2, No.2, Mar-Apr 2004.
興味があったので,ちゃちゃっと訳してみました.なので、正確さに責任は持てません.あしからず.
■ The Honeywall CD-ROM
一年以上も前からHoneynetプロジェクトではCD-ROMを作成している.それは「Honeywall CD-ROM」と呼ばれており,起動可能なCD-ROMとなっており,Honeynetの管理センタとなる"honeywall"のインストールと設定を数分で完了できるようことを目的としたものである.
開発者の当初の意図は,その設置を容易にすることだったが,そのCD-ROMはカスタマイズ可能であり,ネットワーク保護のためにそれを使用することも可能になっている.
□ Second-Generation Honeywalls (第2世代 Honeywall)
honeywallとはhoneynetと外部ネットワークの接続点に設置されるシステムで,Gen II(Second Generation) honeynetの一構成要素である.honeywallには3つの目的がある.それはデータ収集,データ制御,自動警告通知である.
honeywallではすべての通信をログに記録する.その中にはfirewallの警告,不正侵入検知システムの警告,honeywallを通過する全通信パケットの記録などが含まれる.これらの情報収集は透過的に行われ,ネットワークの外部からでも内部からであっても,その存在を発見するのは困難な仕組みになっている.
不正侵入者はしばしば計算機に不正に侵入し,それを踏み台としてさらに不法行為を行おうとする.そのような悪用を防ぐために,GenII Honeypotは、侵入されたHoneypotからのデータ送信を制御するために階層的手法を用いている.Honeypotから外部のネットワークへの接続は制限された回数だけ可能になっている.HoneywallはまたIntrusion Prevention System(IPS)を使用し,不正なパケットの通過を通過しない(できない)ようにしている.
Honeynet環境では,外向けのネットワーク接続とsebekなどが取得する.計算機内での行動記録がhoneypotが侵入されたことを示す最初の兆候となる.自動化されたログ監視ツールがシステム管理者に疑わしい挙動があったことをポケットベルや電話,E-mailなどを使って警告する.Honeypot内でのイベントに迅速に対応することは,blackhat達がhoneypotを悪用するのを防ぎ,管理者に侵入された計算機を実践的に取り扱い可能にする.
□ The honeywall CD-ROM
Honeywallはシステム管理者にhoneynet環境を監視,対応するために必要な幅広いツール群の利用を要求する複雑なシステムである.Honeywallの設定を誤ると,honeynet活動において価値のある情報を失なったり,悪意を持ったクラッカーにhoneynet外ネットワークへの攻撃拠点として利用されたり,またはhoneywall自体が攻撃にさらされるといった危険を招くことになります.こういったシステムを導入し,それが意図した通りに動作していることを確認するには数日間は必要となる.
2003年初頭,ワシントン大学のDave Dittrichとhoneynet projectの仲間は,honeywallの構築を支援するツールの開発を始めました.一年間の活動の後,彼らはLive CD(An operating system on a disk) -- Honeywall CD-ROM -- を開発しました.これは,Gen II honeywallのインストールと設定作業を数分で完了できるようにしています.
□ Organization
Honeywall CD-ROMはLinuxベースのシステムをカスタマイズしたもので,Gen II Honeywallが行うデータ取得,制御,自動警報に必要なすべてのツールがCD-ROMに含まれている.これにより,システム管理者はツール群を見つけて,コンパイルしてそしてインストールする必要がなくなるわけである.
このCD-ROMを使って計算機を起動すると,それはあたかもAppliance(アプライアンス - 専用機器)のように動作する.すべてのツールやインタフェースはCD-ROM上から起動され,ハードディスクは設定を保存するためと,システムがオプションで生成するログを記録するためだけに使われる.この分離はハードディスクでより膨大な量のデータ保存を可能にし,ツールの設定ミスや改ざん,置きかえ等の可能性を減らすことになる.
ひとたびシステムが起動すると,管理者はCD-ROM内にあるGUIを使ってhoneywallのツールの設定を行うことができる.そのインタフェースは,システム管理者が種々の設定値を,手作業でそれぞれのファイルを書き換えることなく,より容易に設定できるようにしている.それらにはFirewallの接続制限数,IDSのルールセット,自動警報のためのE-mailアドレスなどが含まれる.管理インタフェースはまた,不正侵入が成功した時の対応を行うインタフェースになると同時に,ログや警報を集中管理でみることのできるインタフェースにもなっている.
設置をさらに簡単にするため,CD-ROMはすでに存在している設定ファイルを読むこともできる.また初回起動時にfloppy diskから読み込むこともできる.さらに,新しいhoneywallをオンラインで管理作業なしで起動することもできる.Honeywallには以下に挙げるようないくつかのツールが使われている.
○ Snort
よく知られた,オープンソースのIDSである.これは多くのsignatureデータを持ち,柔軟なplug-in構造を有している.Snortはhoneywallでネットワークを監視し,すべての通信トラフィックを記録するのに使われる.
○ Snort-Inline
Snortを使ったIPS(Intrusion Prevention System)で,honeywallではこれを不正な攻撃を防いだり,修正するために使用している.Honeynet ProjectのRob McMillenが現在維持管理をしているツールである.
○ Swatch
"Simple Watchdog"はログ監視のためのユーティリティである.これを使うことで,ユーザは種々のイベントに対応するよう設定することができる.Honeywall CD-ROMではこれを疑わしい行為に対する自動警報のために使用している
○ Iptables
これはLinuxでFirewallの構築と管理を支援するためのツールである.Honeywallではこれをhoneynetを出入りするネットワークトラフィックの制御するために使用するとともに,先進的な接続数制御を実現するために使用している.
○ GRSecurity
このツールは,Linuxにおいて役割ベースのアクセス制御(role-based access control),強制アクセス制御(mandatory access control),chroot制限,監査そしてアドレス空間の保護の機能をもたらすツールである.CD-ROMで提供されるカスタマイズされたLinuxにはこのツールがすでにインストールされ,設定済みになっている.これによってhoneywallシステムのホストベースの安全性が保たれるようになっている.
ここに用いられるツール群がまとめて記述されている.
これらがあわさって,Honeywall CD-ROMのデータ収集,制御,自動警報の機能が構成されている.
□ Customization
Honeywall CD-ROMの開発者達は,設置されているすべてのhoneynetに適したhoneywallを構築するのが困難なことは認識していた.そこでCD-ROMの柔軟性を増すために,彼らは個人や組織が自分達の要望や環境にあわせたカスタムCD-ROMを簡単に作成できるようにする処理を作成した.それがカスタマイズ処理である.この処理は,管理者がhoneynet向けだけではなく,実稼動のネットワークを保護するためにもこのCD-ROMを使えるようにする道を開くことにもなった.
○ Inline defense
Honeywallは外部の攻撃者から稼働中の内部ネットワークを保護するためのデータ制御機能を持っている.それは既存のFirewallと同様Address/Port/Protocolベースの制御のほかに,Firewallがデータ通信を許可しているサービスに対する特定の攻撃を防御するという仕組みも持っている.またデータ収集ユーティリティはデータを補足しているための,システム管理者にネットワーク通信の内容について有益な情報を与えることもできる.この種のデータは,日々の監視のためだけでなく後日の監査の際にも有用である.
○ Rapid response
Honeywall CD-ROMを侵入されるための"おとり"として実稼動のネットワークの外部側に設置することもできる.Honeywallは入出力される全てのネットワーク通信情報を記録しており,また,仮に不正侵入されたとしても,そこから外部への通信は制限されており,無制限に踏み台として利用し、外部へ攻撃ができるようにはなっていない.これらのことを侵入者に
知られることなくできるということは,実稼動のネットワークに害を与えることなく,不正侵入者を監視することができるということである.
また,大量に発生したワームや,新たな脆弱性が公表された時,管理者はHoneywall IPSを,まだパッチの当たっていない計算機群の外側に設置し,IPSのsignatureをその脆弱性やワーム用に更新しておく.するとHoneywall IPSはパッチの当たっていない脆弱な計算機群を保護することもできる.
○ Passive Monitoring
Honeywallは,稼働中のネットワークの全通信トラフィックを収集できるようなポートにIDSを接続することができないような場所でも利用可能である.Honeywallは、監視対象のネットワークと外のネットワークとの接続点で動作するため,そこを通過するトラフィックは,CD-ROM内のIDSやfirewallそしてpacket収集ツールを使ってログとして記録することができる.
Honeywall CD-ROMの開発者は、これらのツールの作成に非常に熱心だった,そしてhoneynetの設置において,最も複雑な部分の一つを大幅に簡単化した.このCD-ROMは開発が続けられ,honeynet技術とともに発展し続けていくだろう.プロジェクトメンバーはすでに次期バージョンの設計を行っている.詳細はhttp://honeynet.org/を参照して欲しい.
□ Reference
1. "Know Your Enemy: GenII Honeynets.", The Honeynet Project
Whitepapers, 2003. http://honeynet.org/papers/
2. B.McCarty, "The Honeynet Arms Race.", IEEE Security & Privacy, vol. 1, no. 6, p.79 -- 82, 2003.
[後日談]
ふと、思い立ってHoneynetのWebページを見に行ってみたら大々的(?)に宣伝されていました.
URLは、http://www.honeynet.org/tools/cdrom/です。InterfaceがX-windowを使わずConsoleベースのMenu型インタフェースだったのを見て「おぉ、X windowsが動作しないような環境での適用も見込んでいるんだな(余計なものは徹底的に排除、脆弱性を招き入れる可能性のあるものは徹底的に排除?)かな?と思いました.なお、KYEのWhitepaperも公開されていました.
Soon Tee Teoh, Kwan-Liu Ma, S.Felix Wu and Xiaoliang Zhao,
"Case Study: Interactive Visualization for Internet Security",
IEEE Visualization (VIS2002), pp.505--508, Oct-Nov 2002.
http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?tp=&arnumber=1183816&isnumber=26565
Internetの性能や安全性を改善する一つの方法は、日常的に経路情報を検査することである。そこで我々はBGP(Border Gateway Protocol)どのように対話的に視覚化するかについて考察し、その結果(成果?)を示す。それは経路情報の振る舞いを明確にし、どこが経路上で弱いところであり、不具合が発生しそうか?ということを同定するのに役に立つことを示す。また実際の異常事象を発見し、かつそれを説明可能にすることを示す.という論文である.
BGPの経路情報を視覚化した研究である。セキュリティと銘打っているが、主たる論調は「ネットワークの状況を把握すること」であり、その結果としてセキュリティに関連する事象を検知/認識することもできる。という主張である。視覚化手法に新規性は認められないような気がするが、ネットワーク(経路情報)の異常を視覚的に認識できる例が提示されており、これは納得のいくものであるのは確かである。また、IPアドレスをQuadTree構造に当てはめた視覚化手法は、一つの手法として参考になる。
また論文の内容とは全く関係ないが,情報視覚化をログの解析に適用することの意義、利点などが実に端的に短く書かれている。これは参考にしたい。和訳をつけておく。
「視覚的データ探索(視覚によるデータ探索)」
ネットワークの異常を認識できれば、それだけ迅速に対策を取ることが可能になる。異常検知とは通常の振る舞いから逸脱した振る舞いを探す処理であるといえる。既存の多くの異常検知システムは統計的解析に基づくものであり、ユーザの平時の振る舞いは統計的測定に基づいて表現されている。これに対して視覚的手法に基づく方法は、「通常」に関する情報がなくても迅速に異常を発見することができる(本当か?)。視覚的な異常検知システムは、対話的なデータ探索により異常を探索する。データ探索とは繰り返しかつ対話的に行われるものであり、視覚的なデータマイニングやネットワーク不正侵入検知も行われている。
----
視覚的な手法は情報探索において有用な方法である。それは人間の視覚情報の認識能力をうまく活用しており,また異常を同定するのに関連する画像を思い出させる効果もある。データ探索とは本来、繰り返し作業であり、ユーザに少しずつパラメータを変更しながら対話的に調査したり、ある特定のデータに注目した調査をしたり,データの時間変化をアニメーションで見ることのできるようなツールを提供することは大変価値のあることである。本研究におけるユーザインタフェース設計も主として挙げられている知的そして生産性に寄与できるcomputer-human interactionの項目のうちの主な二つに適応させている。その1つは、敏速に操作の繰り返し、そしてやり直しのできるものであること、2つめは処理の結果をすぐに、かつ連続して表示するもの。というものである。
---
話は変わるが、BGPによる経路情報はOregon大学にてその収集が行われているようであり,このデータを視覚化したもののようである.Univ. of Oregon Route View Project
山田明、三宅優、竹森敬祐、田中俊昭、山本明仁、三田村好矩,
"異常検知のためのネットワークログ特徴抽出方式"
SCIS2004 2004年 暗号と情報セキュリティシンポジウム、電子情報通信学会, Jan 2004.
計算機ログの解析に対する方法論の論文であり、データマイニングの手法を応用し、異常検知を可能にしようとする論文で、概要は以下の通りである
計算機ログから、一定期間毎に特徴を抽出し、それを過去の特徴と比較すれば異常を検知できる。この際の「特徴抽出」方法としてAOI(Attribute Oriented Induction)が一般的であるが、この方法には「概念的階層構造」を必要となり、これは事前に用意しておく必要がある。しかし、これでは種々の計算機ログに対して汎用的に扱うことができないという問題が発生する。そこでログの形式から概念的階層構造を生成する方法を提案する。という論文である.
IDSのログを解析する方法として、単一のログを対象とし、一般化と要約に基づき特徴を抽出する方法が提案されている。この一方法として Attribute Oriented Induction(AOI)を適用した特徴抽出方法が一般的であり、これは概念的階層構造を利用する。しかしこの階層構造は事前に用意しておく必要があり、連続して出力されるログに対して効率的ではない。というのがこの論文の問題点であり、これに対して動的に概念上の階層構造を生成する方法を提案する。と述べている。
データマイニングについては詳しくないので、ここから先は当方の推測になるが,AOIは木構造を利用し、各ノードに頻度かなんらかの数値が結びついており、この数値の低い複数のノードを閾値かなんらかの基準に基づいて集約するか、親ノードに統合してしまうことで、minorな情報を集約し、 majorな情報群を抽出する方法であると推測する。論文にも「構文上の木構造」と「概念上の木構造」という概念が紹介されており,これを基にログを要約 (集約)していくようである。したがって木構造を基に細い枝を太い枝にまとめてしまうというイメージだと推測する。
この概念的階層構造を自動で作り出すために、データを「数値属性」「離散属性」「木構造属性」に分類し、それぞれに対して動的に階層構造を生成する方法を提案している。各属性は、その各属性値の頻度に基づき、集約する方法が示されている.
また漸増するログに対して、毎回AOIの算出処理をするのは手間であるという問題があるという指摘をし、これに対して短期間毎にログを処理し、さらにそれらを基により大きな期間のデータとして集約していく方法を再帰的適用として提案している.
さてここからは当方の意見を述べる。
評価としてftpサーバのログを使って実験を行っているが、属性対応を人間が行ってしまっており、3.2節で述べている属性選択のための関数を使っていない点が気になった.本当に汎用的に様々なログに対してこの手法が有用なのか? なぜ同様の研究を行っている研究者がこれを行っていない、できていないのかと関係があるかもしれない(本質的に困難?)。これは今後の課題だと推測する。
また評価実験のデータであるログの情報量が少ないと考える。処理時間に関しては「実用的」であると述べているが,この手の処理の処理時間はデータ量に比例せず、データ量の2乗に比例して増大する。というようなことが多いので、実行時間の点からも本当に実用性があるかどうかは疑問である。また結果として得られるデータの表3であるが、これをみて素朴に思うのは頻度の高いもの、つまり「そういう行動が頻繁に発生していた」ということを示している。これはデータマイニングという技術の目的からして妥当なのだが、これがIDSのログから異常を検知するという目的に適しているのだろうか? という疑問がある。異常という事象が頻繁に発生するかというと、そうではないというのが一般的な見方だろう。だとすると頻度の高いものではなく、頻度の低いものに注目するのが常套手段であると考える.だとすると、この手法を逆手にとればいいと考えるだろうが、それがうまく機能するかは疑問である。この評価では出力を16行、集約率を75%にして処理を行ったというが、低頻度の抽出を目指した場合、このような集約率で集約できるかどうかははなはだ疑問である。なぜなら低頻度の情報抽出を行うと、高頻度の情報とは反対に、非常に多くのバリエーションが存在してしまい、その集約が困難だからである。また無理矢理集約しようとすると、必要(解析上有用)な情報までも集約してしまい,情報損失という結果を招きかねないという問題があるからである。論文の考察でも述べているが,この要約は目的達成のためのデータの一つであり、これをどうやってIDSやサーバのログ解析に役立てていくかはさらなる探求が必要だと考える。
また、AOI算出の期間分割に基づく再起的適用の方法についてだが、これにも問題があると考える。それは短期間毎にデータ解析し、それを基に長期間のデータを構築すると、長期間のデータをそのまま解析してAOIを求めるのと違う結果が得られるのではないかという問題である.なぜなら本来ならデータとして供給されるはずのデータが、短期間での解析によって失われ、長期間解析のためのデータとして渡されない可能性があるからと考える.
ただ、このようなログ解析の方法は当方としても非常に興味のある分野であり、かつデータマイニングによる手法は注目を浴びているログ解析方法の一つである。今後も注目に値する研究だと思う。