[ SHA-1, RC6 複合ユニットによる Share 検知 ]
弘前大の学生さん。
ファイル共有ソフトの使用を検知するシステム (Share というのはファイル共有ソフトで、Winny の後継らしい)。
NIC 上の FPGA (Altera) に実装する。
SHA-1 と RC6 を使ってヘッダか何かの magic number を検出して見つけるっぽい。
SHA-1: 1107LE, RC6:3754LE, Overall: 5123LE
Cyclone EP1C20F400C7
質問 (わし): いまのチップだと全体の面積の 1/4 くらい。市販の IP コアとは比較してない (探しておくれー)。
質問 (座長): アルゴリズムはこれ (例の番号の) が普通。足を引っ張っているのは SHA-1。通信データのばらつきはパケットのデータ長のばらつきが原因。パケット長 (ペイロード長) を判定する回路は含まれている。
[ パケットフィルタリング機能を搭載したNICによるDoS攻撃対策 ]
前橋工科大の方。
HTTP-GET flood 攻撃を FPGA な NIC で阻止したい。
Apache でフィルタするのではレイヤが高すぎて、マジメに攻め込まれたらしんどい。
そこで、Apache では攻撃の検出と source IP アドレスの特定をして、NIC のほうでパケットを落とす。
NIC 上の IP address blacklist は CAM とかを使い、サブネット単位とか何かで、わりとリソース使用を抑える方向でやりたいと思っている。
実装はまだしてない。
サブネット単位 (24bit) ならCAM なんか使わなくてもできそうだけどな。64k word x 256bit とかなら、2MB に収まるので、外付けの SRAM (18Mbit とか) がひとつあれば余裕でパイプライン処理できる。32bit 全部だと、512MB 必要なので、ちょっとしんどいな。
質問 (座長): blacklist の実装が問題。Aho-Corasick とか Hash とか?
質問 (わし): メモリのアドレスとデータのフィールドを巧く使えば簡単に実装できるんでは?
質問 (その他): NIC が IP レイヤをやるとかいうことではない。
[ P2P ファイル交換ソフトウェア環境 Winnyp を対象とした観測 ]
Winny でどんなファイル (種類、サイズ) が流通しているかのサーベイとか。
質問 (座長): Winny と Winny2 で流通しているファイルの内容の分布に差異があるのはなぜ? データ収集をした期間は一週間。ただ、データの重複を除いたりする作業に時間がかかる。
質問 (弘前大の方): 観測したノードは全体のどれくらいか: 観測するのに使うマシンを増やしていって、ノード数が飽和したところで打ち切った。
[ Packet Filtering Unitの評価 ]
弘前大パート II.
質問 (座長): 送信元ポート番号でフィルタするところが謎。でも、これは signature を圧縮するためらしい(どこか外で検知して signature つくるのか?)
質問 (前橋工科大): ホワイトリストを変更した場合は再合成が必要? yes.
[ 自己組織化マップによる不正アクセスの予測 ]
神奈川工科大の人。SOM ですよ!
Signature 型では登録データに基づいて判定をするので、亜種みたいなやつは検出できない。
Anomaly 型では「正常な状態でなくなった」ことを検出するので、false positive が多い。
Snort の定義を学習データにつかう。
ちゃんと ROC なんかも評価しており、なかなかちゃんとやっている気がする。適応型フィルタにもなれるしね。かっこいい。
質問 (わし): SVM とかはどうですか? SOMは教師なし学習ができることがポイントだと考えている。あと、視覚的に見せられるのも、人が監視するシステムに応用が利きそうでいいかなー、と。
[ 分散型通信制御セキュリティシステムの開発 ]
Linux で L2 filtering.
質問 (座長): 問題が発生したセグメントを落とすんだったら MAC アドレスごとにフィルタしなくてもいいんでない? L2箱だとネットワークの構成 (L3箱があるとか) によっては入れにくい?