振る舞い検知型IPSの技術解説
前編 従来型IPSの課題と解決策
出雲 教郎
日本ラドウェア株式会社
技術本部 ソリューション・アーキテクト
2009/5/22
ハードウェア処理能力の限界
現在市販されているIPS製品では、多いものでも1000から3000程度のシグネチャをすでに実装しており、これらのシグネチャを高速なブロードバンドネットワーク下において、ワイヤースピードで処理できるような処理能力をも兼ね備える。
しかしながら、前述したペースで新しいインシデントが発生し、それに対応するシグネチャをそのまま追加していくと、1年程度でその数は簡単に倍以上になってしまう。これをそのまま運用した場合、想定した性能を満たすことがかなり困難になってしまう。シグネチャ型IPS製品の機能的な特徴である、パケットのデータペイロードまでを正確かつ高速に検査する機能は、それなりにCPUなどのリソースを消費しやすいからだ。
これに対して、ベンダはおおむね以下の4点で対応を行っている。
- シグネチャの最適化により、より少数のシグネチャで複数のインシデントに対応する
- すでにインターネット上ではほとんど検知されなくなった、古い陳腐化したインシデントに対応するシグネチャの定期的な削除を行う
- シグネチャに依存した過負荷時には、縮退機能により負荷を軽減させる仕組み(シグネチャの部分的無効化やコンポーネントのバイパス化など)の導入する
- シグネチャの増加に対して、より高速なIPSハードウェアプラットフォームの開発する
IPSを導入、運用した場合、各ベンダによるシグネチャの最適化、陳腐化したシグネチャの見直しや、過負荷時の縮退機能、運用監視オペレータなどによるセキュリティポリシーの見直しなどが日夜常時行われることになり、一貫して全体をコントロールするノウハウが必要だ。
振る舞い検知型IPSではフィルタ作成、適用、最適化、削除がすべて自動化され、装置自身によりそのときの振る舞いに応じて行われる。またパケットのペイロードを含むすべての情報を検査する処理は、IPS製品のリソースを大きく消費してしまう。そのため、新たな方式による分析手法や抜本的解決策が求められ、かつ検討されている。
●レートベース防御方式
DoS/DDoS攻撃は1つ1つのパケットが正常なものと見分けがつかず、それぞれの“量”が問題となり、サーバリソースの枯渇問題につながる。それらはレートベースの防御方式の場合、ある一定のしきい値を設けて防御することになる。
近年公開されたインターネットアプリケーションの場合、そのしきい値の設定は大変難しいものになっており、キャンペーンのページなどを公開すると正常なトラフィックが正常に突然スパイクすることも珍しくない。この方式では、しきい値のチューニングを運用オペレータによって行う必要があり、さまざまな困難が付きまとう。
振る舞い検知型IPSでは、あらかじめ一定期間のネットワークベースラインを学習する期間を設けるよう推奨している。学習したベースラインを基に、そのときの振る舞いからアタックを分析し、フィルタを作成・適用する。その後も継続してトラフィックの推移を監視し、フィルタ適用が有効であったのか、フォールスポジティブ(誤検知)になっていないかをリアルタイムに自己学習しながらフィルタの最適化を行う。
●セッションベース防御方式
IPS装置にてセッションを終端し、プロキシのような形でトラフィックをコントロールすることによりアタックを検出する方式もある。プロトコルアノマリーの検出方法としてはより正確性が強化され、SYNアタックに関してもより正確に検出することが可能になった。
しかしネットワークに透過的に導入されるIPS製品の場合、セッションベースで対応しようとすると、その製品が対応可能な同時接続セッション数を十分考慮して導入する必要がある。また現在のWebアプリケーションで主流となりつつあるJavaScriptやAjax、それを高速に処理する最新のブラウザエンジンは、より多くのTCPセッションを消費する傾向にあり、ネットワークで見る同時接続セッション数は全体として大きく増える方向だ。今後この方式を使っていくことにはおのずと限界が生じてしまう。
そのため、振る舞い検知型IPSではセッションを終端して分析するような手法は取られていない。
ゼロデイアタックは対策できないのか
セロデイアタックについては、近年でもいくつかのケースが報告されており、決して絵空事とはいえない状況になっている。
| 【関連記事】 また日本のフリー圧縮ツールにゼロデイ攻撃(@IT NewsInsight) http://www.atmarkit.co.jp/news/200708/20/lhaz.html Windowsに深刻な脆弱性、ゼロデイ攻撃も発生(@IT NewsInsight) http://www.atmarkit.co.jp/news/200703/30/ms.html 一太郎にゼロデイアタックを仕掛けるトロイの木馬が登場(@IT NewsInsight) http://www.atmarkit.co.jp/news/200608/18/ichitaro.html |
シグネチャ型のIPSでは、人手を中心としたインシデント監視センターによる分析と開発によってシグネチャがリリースされるため、ゼロデイアタックへの対応はどんなに早いセキュリティベンダであっても、脆弱性発覚から数時間の間はカバーできないという、システム上の限界が存在する。
前述したとおり、振る舞い検知型IPSでは装置自身でアタックを検出するため、フィルタの適用まで数秒から数十秒というオーダーで対応できる。基本的な構造として、セロデイアタックに対して抜本的な対策となり得るポテンシャルを秘めている。
ボットネットを使った攻撃を守るには
ボットネットを使った特定サイトへの攻撃は近年増加傾向にあり、通信事業者や企業を問わず、さまざまな部門における抜本的な対策が求められている。しかしながら前述したシグネチャベースの防御方式や、レートベースの防御方式では、ボットネットからの攻撃に対して完全に防御することはできない。
ボットネットからの攻撃はアプリケーションレベルのDDoS攻撃であり、1つ1つのパケットそれ自体が正規のアクセスとまったく見分けがつかない場合が多い。またそれを予測して、あらかじめしきい値を想定することは不可能だ。同様にTCP/UDPなどのトランスポートレイヤまでをカバーしているDoS防御製品でも対応することはできない。現状では、ボットネットと推定されるIPアドレスをブラックリスト化して防御するぐらいしか手立てがなく、運用者への負担は大変なものになっている。
振る舞い検知型IPSでは、ボットネットからの通信に対しても、そのアプリケーションレベルの振る舞いから検出して防御する。1つ1つのパケットで分析するのではなく、特定サイトへのアクセス全体の状況からアプリケーションレベルで判断するため、ボットネットの行動を振る舞いから正確に検出できる。
 |
2/3 |
 |
| Index | |
| 前編 従来型IPSの課題と解決策 | |
| Page1 いかにして新たな脅威に追従するか シグネチャ型IPSの課題 |
|
 |
Page2 ハードウェア処理能力の限界 ゼロデイアタックは対策できないのか ボットネットを使った攻撃を守るには |
| Page3 振る舞い検知型IPSとは 統計学的分析手法をIPSに取り入れると |
|
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
