パケットモニタリングを用いた感染端末検出のためのトラフィック分析に関する研究

利用数据包监控检测受感染终端的流量分析研究

• 批准号: 21K11889
• 负责人: 中村 豊
• 金额: $ 2.66万
• 依托单位: Kyushu Institute of Technology
• 依托单位国家: 日本
• 项目类别: Grant-in-Aid for Scientific Research (C)
• 财政年份: 2021
• 资助国家: 日本
• 起止时间: 2021-04-01 至 2024-03-31
• 项目状态: 已结题
• 来源: https://kaken.nii.ac.jp/grant/KAKENHI-PROJECT-21K11889/
• 关键词: パケットキャプチャ; 内部通信; 異常検知; ラテラルムーブメント; パケットモニタリング

本研究で提案する二次被害特定のためのトラフィック分析は申請者らの独自の手法である．一次被害端末を検出するための製品やサービスは数多く存在するが，一次被害端末が生成す るトラフィックを分析し，二次被害端末の特定，調査を行う研究は行われていない．特に内部拡散に用いられるラテラルムーブメントにおいて，内部ネットワークでどの端末が侵害を受けたかを分析することは，これまで非常に困難であった．これはラテラルムーブメントの通信を検知したとしても，その通信で内部拡散に成功したかどうかの成否を判定してこなかったからである．また，内部ネットワークの計測自体が非常に高コストで困難であった．しかし我々は大規模環境向けフルパケットキャプチャツールであるArkimeを用いることで比較的低価格なサーバでキャンパスネットワークのキャプチャシステムの構築に成功した．ArkimeではパケットキャプチャだけでなくElasticsearchを用いたセッション情報を取得することができる．このセッション情報を分析することで内部ネットワークにおける通信状態を把握することが可能となる．本研究ではArkimeが生成するセッション情報を分析することでラテラルムーブメント発生時の拡散の成否について判定するための手法について検討する．具体的には内部スキャン通信を検知した際，それらのセッションの特徴を分析し，「スキャンの検出」「サービスの検出」「端末への侵害」と3段階の分類を行い，二次被害端末の特定を行う．令和４年度では令和３年度に構築したArkimeを用いた計測環境を用いて二次被害端末の特定手法について調査を進めた．

本研究中提出的用于识别次要损害的交通分析是申请人的独特方法。有许多用于检测主要损坏装置的产品和服务，但是尚未进行研究以分析主要损坏设备产生的流量，并识别和调查次要损坏设备。特别是，在用于内部扩散的侧向运动中，很难分析哪些终端在内部网络中受到损害。这是因为即使检测到横向运动中的通信，也无法确定沟通是否成功。此外，内部网络测量非常昂贵且困难。但是，通过使用用于大规模环境的全包捕获工具Arkime，我们成功地为具有相对低成本服务器的校园网络构建了一个捕获系统。在Arkime中，您可以使用Elasticsearch以及数据包捕获获得会话信息。通过分析此会话信息，可以掌握内部网络的通信状态。在这项研究中，我们将研究一种方法，即通过分析Arkime产生的会话信息，确定扩散的成功或失败。具体而言，当检测到内部扫描通信时，分析了这些会话的特征，并在三个阶段进行分类：“扫描检测”，“服务检测”和“终端违规”，并确定了次要受害者终端。在2022年，我们对如何使用Arkime进行测量环境进行了一项调查，该调查是在2021年建造的。

项目成果

Arkime を用いた内部トラヒック調査に関する研究

基于Arkime的内部流量调查研究

• 发表时间: 2021
• 作者: 中村 豊;佐藤 彰洋;福田 豊;林 豊洋;井上 純一;岩崎 宣仁;和田 数字郎
• 通讯作者: 和田 数字郎

IPv6IPsec VPNをVXLANを用いたキャンパス間バックアップネットワークの構築とその応用

基于IPv6IPsec VPN和VXLAN的校际备份网络构建及应用

• 发表时间: 2022
• 作者: 相澤直樹 栃窪孝也;相澤直樹 栃窪孝也;相澤直樹 栃窪孝也;相澤直樹 栃窪孝也;中村豊，佐藤彰洋，福田豊
• 通讯作者: 中村豊，佐藤彰洋，福田豊