6.TCPコネクション要求回数の計数による攻撃者の検知 [セッション3: セキュリティ(1)]

6.TCPコネクション要求回数の計数による攻撃者の検知
○衣笠雄気・大塚賢治・兒玉清幸・吉田和幸(大分大)

・不正侵入
・パケットフィルタリング
・管理者の負担増
・scan攻撃を抑制
・ICMP、TCP、UDP、この研究ではTCPで短期的な攻撃、SYNフラグのみが1のパケット

・存在ホストの探索
・大量の接続要求数

・スイッチでパケットを収集

・攻撃者検知システム
・単位時間あたりのTCPコネクション接続要求回数により判断

・IPアドレスと、IPアドレスからの接続要求回数
・接続要求回数は一定時間毎に更新

・ホワイトリスト、事前に静的に作成(クローラーなど)

・tcpdumpのパケットロスの問題

・httpは判断が難しい

・1分間に110以上の接続は攻撃者、、、

・長期的にスキャンを行う攻撃者は少ない

・関連研究、フレッツ・セーフティ、psad

・psad, iptables連携、管理者へのメール送信など
・ただ、大規模には対応が難しい

・帯域幅を小さく絞ったスロースキャンには未対応

・課題
・自動攻撃遮断システムの構築
・誤検知の低減が必須
・ログの解析
・対象とするscan攻撃の種類を増やす

Q.ホワイトリストを作らないと、何で誤認識するのか?
A.

Q.tcpdumpをデフォルトで使用? セッティング次第でパフォーマンスが出るはずだけど
A.特に考えていなかった

Q.snortで十分なのでは? このシステムの利点は
A.snortでも出来るけど、snortの設定が大変、簡単に設置できる

Q.内部から外に向けての攻撃を守ることは出来るか?
A.スイッチの設定次第で可能