SIGSS ミーティング

2006年11月16日（木）

島本 大輔

修士2年

概要

• 最近のセキュリティ事情
• 研究進捗
• 論文サーベイ

概要

• 最近のセキュリティ事情
• 研究進捗
• 論文サーベイ

最近のセキュリティ事情

• MoKB スタート
• デバイスドライバのセキュリティホール

MoKB スタート

• Month of Kernel Bugs
• カーネルモジュールのバグを11月中、1日1個ずつ公開していくブログ
• 対象は Windows、Linux、MacOS、FreeBSDなど

デバイスドライバのセキュリティホール

• 特に無線デバイス＝Wifi、Bluetooth　のデバイスドライバ
• MacOS X の Atheros 製無線LAN
• Broadcom の無線LAN
• 東芝製 Bluetooth デバイス
• デバイスドライバのアップデートを促す方法が必要
• 普通のユーザはあまり気にしていない
• Windows Update (Microsoft Update) が有効？

概要

• 最近のセキュリティ事情
• 研究進捗
• 論文サーベイ

研究の進捗

• 開発
• カーネルモジュール内にて System Service を記録
• プロセスを止めて、ログをファイルへ出力後に再開させることに成功
• 実験
• いろいろなプログラムのヒストグラムを作成中
• 落とし所
• 対象とするプログラムの種類を絞るのか？
• 検証だけになるのか？異常検知するところまで持って行くのか？

概要

• 最近のセキュリティ事情
• 研究進捗
• 論文サーベイ

論文サーベイ

• A Comparison of System Call Feature Representations for Insider Threat Detection
• Alexander Liu, Cheryl Martin, Tom Hetherington, and Sara Matzner (The University of Texas)
• IEEE Workshop on Information Assurance 2005

要約

• 外部からの攻撃ではなく、内部からの攻撃を検知したい
• システムコールを利用した既存の手法を、内部からの攻撃に対して評価した
• n グラム
• ヒストグラム
• 引数のチェック

イントロダクション（1/2）

• 内部攻撃とは
• 内部者が許されている以上のことを行い、悪事を働くこと
• システムダウン、データの破壊、情報漏洩につながる
• 企業や政府において重要視され始めている
• 内部攻撃対策は難しい
• 物理的に既に内部にいて、攻撃対象に近い
• 攻撃に障害が少ない＝外部攻撃に比べ容易

イントロダクション（2/2）

• システムコールを監視する手法を利用
• すべての行動を把握することが可能
• OS の内部に配置すれば、回避もしくは解除されにくくなる
• 参考になるような外部攻撃に利用した研究が多数存在する
• しかし、実際に内部攻撃に有効かどうかは不明
• 有効性を明らかにしたい

関連研究

• 内部攻撃の研究は外部攻撃に比べ少数
• 内部攻撃による buffer overflow の検出
• マスカレード（masquerade）の検知
  いずれも外部攻撃の研究の一部、という形
• システムコールを利用した異常検知は多数
• 正常な列の記録を保存し、それから外れたものを異常とする方法が主流
• 回数を調べたものもある
• システムコールの属性を利用したもの
  e.g. 引数や返り値など

検知手法

• 3つの段階
• データの取得
• 特徴抽出
• 異常な値の検出

データの作成

• 内部攻撃を含むようなデータセットが存在しないため、独自で作成した
• SNARE を拡張し、コンソールを利用しているユーザのシステムコール列を 記録するシステムを開発
• チームの1人にコンソールで、正常・異常な動作の両方を行い、その都度、 正常か異常かを示す
• 正常：データベースの管理、文章作成、ウェブ閲覧など
• 異常：様々な攻撃（詳細は次のスライド ）
• 「重要なファイルを扱う」という動作をまねするために、いくつかのファイルを「重要」と決めておく
• 6種類のデータセットを作成した
• それぞれ特定の正常な動作とそれに似た異常な動作を含む

内部攻撃の種類

データセット

システムコールの特徴抽出

• 3種類の特徴を用いて実験した
• システムコール列の n グラム
• システムコールの発生回数
• 個々のシステムコール引数や返り値

システムコール列の n グラム

• n グラムとは、あるリストの長さ n の部分列集合のこと
  例：
  (open, close, open, read, read, write, read, close)
  という列の n=5 グラムは
  (open, close, open, read, read), (close, open, read, read, write),
  (open, read, read, write, read), (read, read, write, read, close)
  の4つである。
• Forrest らによる研究が元
• 元の研究は sendmail が対象
  ⇒ 今回の実験はあらゆるプロセスのシステムコール列を取得
• 予備実験の結果から n = 5 を採用

システムコールの発生回数（ヒストグラム）

• 一定の範囲内 W でのシステムコールが呼ばれた数を利用
• 本実験では予備実験の結果から W = 30 を利用
• 1度の計算後に5個ずつずらす

システムコールの引数や返り値

• システムコールによって、引数の数などが異なるため、個別に管理
• 今回は open と fork に関して検証

データセットのまとめ

• 3つの手法からデータを解析

異常検知実験（1/2）

• Bay による k Nearest Neighbor (kNN) を用いた手法を利用 [Bay et. al. '03]
• テストデータを中心に、すべての正常（と分かっている）データとの距離を 計算し、近い方から k 番目までの距離の合計が最も大きいものを異常とする
• 今回は k = 5 とする
• 距離の決め方
• n グラムでは、個々の部分列間が同じ場合を0、異なる場合を 1 とする。
• ヒストグラムでは、個数の差を合計する
• Parameter-based では、同じシステムコールを比べ、引数や返り値のうち、異なるものの数を合計する

異常検知実験（2/2）

• 異常なデータと正常なデータを分け、異常なデータと正常なデータを同じ数混ぜたものをテストに用い、残りの正常データを学習に利用する
• 例：browse/5-gram
  データ 6785 個（うち異常なものが 1082 個）
  ⇒ 学習用データ 4621 個、テスト用のデータを 2164 個
• kNN の計算には Bay らのプログラム（Orca）を用いる
• 結果は ROC (Receiver Operating Characteristic) 曲線で示す
• 横軸に false positive（正常を異常と判定してしまったもの）の割合、 縦軸に true positive（異常を異常と判定できたもの）の割合をとる
• 左上（false positive=0%, true positive=100%）に近いほど良い

結果の ROC 曲線（1/2）

結果の ROC 曲線（2/2）

考察

• n グラムに関して
• ランダムなものとあまり変わらず、特に良くない
• しかし、既存研究では「外部攻撃には有効」と出ている
• 外部攻撃の場合は、攻撃対象のプログラムの動作を大きく変更させ、異なった n グラムを発生させる
• 本実験ではユーザが、正常時と攻撃時でプログラムを同じように使っている
• ヒストグラムに関して
• ランダムよりは、まあまあ良い結果が出ている
• しかし、本当に良い結果は misc のみ
• 以上の2つは misc のみで良い結果が出ている
• misc は、そもそも正常時と攻撃時の動きが大きく異なる
• 外部攻撃の挙動に近い

parameter-based について

• なかなか良い結果
• 紹介したのは open と fork だけだが、access、connect、execve、unlink なども似た結果になった
• 正常時と攻撃時では、parameter 的に大きく異なった傾向を示す
• しかし、ランダムよりも悪いものもある
• 攻撃時のデータが正常時のデータに似ており、他の正常動作とは 異なっているためである
  例： 機密情報入りのメールを送るのも、普通のメールを送るのも変わらない
• いかに攻撃動作と正常動作を識別するかが、最も大きな課題

まとめと今後

• 内部からの攻撃をシステムコールと kNN を利用して異常検知の有効性を検証した
• システムコールの特徴を3種類試した
  特に parameter-based の手法に期待が持てる
• ユーザの内部での行動から内部攻撃を検知する研究としては初
• 内部攻撃と外部攻撃とでは性質が異なる
• 今後は、parameter-based を深く調査したい
• open や fork 以外のシステムコール
• Parameter の設定の仕方