パケットモニタリングを用いた感染端末検出のためのトラフィック分析に関する研究

利用数据包监控检测受感染终端的流量分析研究

• 批准号: 21K11889
• 负责人: 中村 豊
• 金额: $ 2.66万
• 依托单位: Kyushu Institute of Technology
• 依托单位国家: 日本
• 项目类别: Grant-in-Aid for Scientific Research (C)
• 财政年份: 2021
• 资助国家: 日本
• 起止时间: 2021-04-01 至 2024-03-31
• 项目状态: 已结题
• 来源: https://kaken.nii.ac.jp/grant/KAKENHI-PROJECT-21K11889/
• 关键词: パケットキャプチャ; 内部通信; 異常検知; ラテラルムーブメント; パケットモニタリング

本研究で提案する二次被害特定のためのトラフィック分析は申請者らの独自の手法である．一次被害端末を検出するための製品やサービスは数多く存在するが，一次被害端末が生成す るトラフィックを分析し，二次被害端末の特定，調査を行う研究は行われていない．特に内部拡散に用いられるラテラルムーブメントにおいて，内部ネットワークでどの端末が侵害を受けたかを分析することは，これまで非常に困難であった．これはラテラルムーブメントの通信を検知したとしても，その通信で内部拡散に成功したかどうかの成否を判定してこなかったからである．また，内部ネットワークの計測自体が非常に高コストで困難であった．しかし我々は大規模環境向けフルパケットキャプチャツールであるArkimeを用いることで比較的低価格なサーバでキャンパスネットワークのキャプチャシステムの構築に成功した．ArkimeではパケットキャプチャだけでなくElasticsearchを用いたセッション情報を取得することができる．このセッション情報を分析することで内部ネットワークにおける通信状態を把握することが可能となる．本研究ではArkimeが生成するセッション情報を分析することでラテラルムーブメント発生時の拡散の成否について判定するための手法について検討する．具体的には内部スキャン通信を検知した際，それらのセッションの特徴を分析し，「スキャンの検出」「サービスの検出」「端末への侵害」と3段階の分類を行い，二次被害端末の特定を行う．令和４年度では令和３年度に構築したArkimeを用いた計測環境を用いて二次被害端末の特定手法について調査を進めた．

本研究中提出的二次损伤识别的流量分析是申请人开发的独特方法。尽管有许多用于检测主要受害终端的产品和服务，但尚未进行研究来分析主要受害终端产生的流量以及识别和调查次要受害终端。分析内部网络中的哪些设备受到损害是极其困难的，特别是在用于内部传播的横向移动中。这是因为，即使检测到横向移动通信，也无法确定该通信是否成功在内部传播。此外，测量内部网络本身非常昂贵且困难。然而，通过使用Arkime这个针对大规模环境的完整抓包工具，我们成功地用相对低成本的服务器构建了校园网络抓包系统。除了数据包捕获之外，Arkime 还允许您使用 Elasticsearch 获取会话信息。通过分析该会话信息，可以了解内部网络的通信状态。在本研究中，我们通过分析 Arkime 生成的会话信息，研究了一种在发生横向移动时确定扩散成功或失败的方法。具体来说，当检测到内部扫描通信时，分析这些会话的特征并将其分为三个阶段：“扫描检测”、“服务检测”和“终端入侵”，并识别次要受害者终端。 2020 财年，我们研究了使用 2021 财年构建的 Arkime 测量环境识别二次受害终端的方法。

项目成果

Arkime を用いた内部トラヒック調査に関する研究

基于Arkime的内部流量调查研究

• 发表时间: 2021
• 作者: 中村 豊;佐藤 彰洋;福田 豊;林 豊洋;井上 純一;岩崎 宣仁;和田 数字郎
• 通讯作者: 和田 数字郎

IPv6IPsec VPNをVXLANを用いたキャンパス間バックアップネットワークの構築とその応用

基于IPv6IPsec VPN和VXLAN的校际备份网络构建及应用

• 发表时间: 2022
• 作者: 相澤直樹 栃窪孝也;相澤直樹 栃窪孝也;相澤直樹 栃窪孝也;相澤直樹 栃窪孝也;中村豊，佐藤彰洋，福田豊
• 通讯作者: 中村豊，佐藤彰洋，福田豊