本研究の目的は、コンピュータネットワークへの不正アクセスの検知をリアルタイムで可視化することにより、ネットワーク管理者による不正アクセス対処の迅速化及び容易化を図ることである。
本研究では、この問題の解決策として「分散型ハニーネット」を活用することを検討している。ネットワーク上の広範囲に不正アクセス行動を記録するツール類を含んだネットワークである「ハニーネット」を配置し、それらのセンサから得られたデータを中央で関連付け、不正アクセス者の行動を広域的かつ詳細に解析するシステムを構築する。さらにその結果をリアルタイムで可視化できるシステムを構築することにより、本研究の目的を達成できるものと考えている。
不正アクセス検知については、ハニーポットを用いたシステムの研究がなされており、今後はその応用事例が探られる段階である。私はこれに「分散型ハニーネット」および「視覚化」の技術を組み合わせることにより、さまざまな環境下で確実に不正アクセスを検知し、ネットワーク管理者の適時適切な不正アクセス対処に資するシステムを構築するため、以下の手順で研究を行いたいと考えた。
本研究の実施を可能とするため、ハニーポットを含んだ小規模なネットワーク環境を構築し、不正アクセスの記録を可能にする。また、リアルタイムで不正アクセスの記録を出力できるようなシステムを構築する。
上記のネットワークに対し、既知の侵入、攻撃を模擬する。もしくは実際に外のインターネットから不正アクセスを受ける。
ユーザは、不正アクセスに対して必要な対処行動をとると同時に、不正アクセスの記録をリアルタイムで出力できるよう努める。
1で構成したシステムを分散型ハニーネットに応用し、多数のハニーネットのセンサから得られるデータを中央でまとめて相互に関連付け、不正アクセス者の行動をより詳細に解析する。また、「視覚化」技術を組み合わせることにより、ネットワーク全体を単一画面で表示し、不正アクセスや攻撃がリアルタイムで一目に把握できるようにし、ネットワーク管理者が不正アクセスや攻撃に対処する際の迅速化、最適化に資する。また、不正アクセスや攻撃への対処を、同じ画面上で迅速に行うことができるようなインタフェースを設計する。
春学期は分散型ハニーネットを構築する準備段階として、ハニーポットを含んだ小規模なネットワーク環境の構築、侵入検知システムの勉強をメインに行った。また、Honeywall[1]を用いた高対話型ハニーポットを設置し、実際の不正侵入者がどのような行動をとるかについての知見を得た。
秋学期は、対象とする不正侵入者を「人」から「ボット」に切り替えた。ボットとは通常のウイルスやワームとは異なり、HERDERまたは(BOT)MASTERと呼ばれる人間の指示によりDDoS攻撃やスパムメールの送信といった様々な活動を行うプログラムである[2,3]。ハニーポットを用いてボットネットの挙動を解析し、ボットネットの指令サーバを突き止め、指令サーバからの情報をもとにボットネットの概要やその意図についての知見を得た。また、ボットネットの指令サーバは主にIRC(Internet Relay Chat)サーバが用いられているため、IRCサーバのボットネット指令チャンネルへログインすることによってボットネットの挙動をより深く解析しようとしたが、IRCサーバへの接続が不可能なケースが多く、有効なデータを得られるに至らなかった。
今後は、ネットワーク管理者の立場から不正侵入者(人ないしボット)の情報をどのように視覚化すればよいかを主眼において研究を進める。また、分散型ハニーネットへ視覚化の技術を応用し、ネットワーク管理者がより効率的に管理を行うことができるようなシステムの構築を目指す。