侵入検出システム評価の調査研究

研究内容中間報告書

平成10年11月10日

目 次

1.はじめに

2.研究の目的と内容

3.これまでの活動状況

4.今後の予定

別添資料

A:侵入検出システムの現状調査内容一覧

B:調査対象一覧

C:実験環境構築 第一フェーズ報告書

D:国内入手可能な侵入検出システム一覧

 

1.はじめに

    情報システムの発展によりネットワーク利用の高度化が加速度的に進み、インターネットの普及により、企業や家庭内から様々なユーザがネットワークを介して情報へアクセスすることが可能となった。情報ネットワークが社会インフラの一つとして急激に発展している一方、情報システムに関連する犯罪も増加してきており、これらに対するセキュリティへの関心が高まっている。

    ネットワーク上の脅威に対するため、様々なセキュリティ技術が開発されている。不正侵入を予防する「アクセス制御」「認証」技術、盗聴、改竄に対する「暗号化」「署名」技術などの分野では、すでに多くの研究・開発実績があり、ファイアーウォール製品や暗号化製品などのプロダクトとして数多く市場に出回っている。一方、侵入行為を検出するための「侵入検出システム」は、世間での認知度が低く、雑誌などの誌面上で採り上げられる回数や市販されている製品も少ないのが現状である。

    セキュリティ技術の有用性を社会に説明するためには、何か説得力を持たせるような評価基準が必要である。このような評価基準は、製品提供者にとって、開発・提供する製品の機能仕様を明確にする上で必要であり、また製品を導入する側にとって、製品を選択する上で重要な要因になる。ファイアーウォール製品や暗号製品に関しては、公的機関や民間の第三者による評価基準が存在しているが、侵入検出システムに関する評価の指針はまだ確定していない。IPAのセキュリティセンターにおいても、ファイアーウォールの評価や暗号製品の評価に関する調査・研究などを既に開始しているが、侵入検出システムに関しては未着手である。

    そこで、侵入検知システムの現状を把握、その調査結果と実証実験によるシステムの評価結果に基づき侵入検知システムの評価基準をまとめることを目標として、本プロジェクトが開始された。

 

2.研究の目的と内容

    本プロジェクトは、侵入検出システムの現状を調査、その評価基準を策定することを目的とし、以下の方針に従い作業を進めている。

    (1)侵入検出システムの現状把握

    侵入検出システムは、動作環境や検出方式など多岐にわたっているため実態を把握しづらい。しかしその機能は、@判断材料となるデータの収集、A侵入行為の検出、B検出後の動作からなり、判断材料として利用するデータの種別、侵入行為判断手法及び検出後の動作などの観点から分類されることが多い。この分類に基づき、現在国内外の研究機関で開発あるいは民間企業から販売されている侵入検知システムに関して調査を実施、検知可能な侵入手法やシステムの稼働環境などを整理する。

    (2)侵入検出システム評価方法の現状把握

    既に発表されている侵入検出システムに関する評価方法、あるいは海外で取り組まれている侵入検出システム評価プロジェクトなどを調査し、策定する基準への適用可否を検討する。

    (3)侵入検出システム評価の実験

    侵入検出システムを評価するために実験環境を構築、(1)の調査結果などを踏まえ、実際に侵入検出システムの導入し、機能評価などを行う。

    (4)侵入検出システム評価基準の策定

    (1)〜(3)の各調査結果及び実験より得られた結果に基づき、評価基準をまとめる。

 

3.これまでの活動状況概要

3.1 侵入検出システムの調査

国内外で発表・販売されている侵入検出システムに関する調査を次の手順で実施した。
    1. 概要調査

      2. 侵入検出システムの機能概要を調査した。情報は文献、web、カタログなどの情報を基に収集した。

    2. 調査対象絞り込み

      3. @の結果を基に、詳細内容を調査するシステムを絞り込む。絞り込みにおいては、詳細情報が入手可能であること、機能面で注目すべき点があること、導入実績があること、国内で利用することが可能であることなどをポイントに選定を行った。その結果、米国内で研究・開発されている侵入検出システムが調査対象として選出された。

    3. 詳細調査
      絞り込んだ各システムに関して詳細を調査した。調査は概要調査と同様、文献、web、カタログなどからの情報収集に加え、開発機関、取り扱い代理店などへのヒアリングの実施により行った。

    今回の調査項目を別添資料A 「調査項目一覧」及び調査対象となったシステムの一覧をを別添資料B 「調査対象システム一覧」に示した。概要調査段階で、研究機関プロジェクト35システム、商用ベース製品33システムをリストアップし、その中から研究機関プロジェクト3システム、商用ベース製品15システム、計18システムに対して詳細調査を実施した。調査結果は、「米国を中心とした侵入検出システム及びその評価方法に関する調査」にまとめており、最終研究成果報告書に、今回の調査実施後の更新情報を反映させる予定である。

     

    3.2 侵入検出システムの評価方法に関する現状調査

    侵入検出システムの評価に関連する資料、論文及びこれまで実施された官民の取り組みに関する下記項目について調査を実施した。

    a)侵入検出システムの評価に関して、これまで実施されている官民の取り組みがあれば、その変遷。

    b)既に発表されている評価方法に関連する論文(プロジェクト)について@論文発表者(プロジェクト主催者)のプロフィール、A論文要旨(プロジェクト概要)。

    c)既に公開または販売されている評価ツールがあれば、@ツール名、A機能概要、Bシステム稼働環境、C提供ライセンス形態、D商用の製品であればその価格及び保守内容と保守費用。

    調査結果を「米国を中心とした侵入検出システム及びその評価方法に関する調査」にまとめた。今回の調査では、特定の侵入検出システムの評価に関するレポートは確認できたが、侵入検出システム全般を網羅する評価基準策定への官民の取り組みや評価ツールは確認できなかった。しかし、今年度米国の大学で研究プロジェクトが立ち上がったり、民間のセキュリティベンダの中で侵入検出システムの評価を検討している動きがあることなど、侵入検出システムの評価基準の策定は、これから本格化していく段階にあると考えられる。

     

    3.3 評価実験環境構築及び運用

    侵入手法データの収集及び侵入検出システムの動作評価を実施するため、インターネットへ接続した実験サイトを構築、7月より運用を開始した。今回は、ネットワークパケットを収集し、保持している攻撃パターンと照合して侵入検出を行う形態の侵入検出システムを導入し、主に外部からの侵入・攻撃行為を監視、攻撃の傾向、方法及び侵入検出システムの動作評価を行った。

    実験環境構築に関する内容及びこれまでの運用結果に関しては、別添資料C「実験環境構築 第一フェーズ報告書」にまとめた。

4.今後の予定と課題

4.1 侵入検出システムの機能評価

別添資料A 「実験環境構築 第一フェーズ報告書」の今後の課題と予定としてあげているが、今回構築した実験環境に、既に導入した侵入検出システムと異なるタイプのシステムを導入し、これまでと同様動作評価を行う。また、擬似的に実験サイトに対して攻撃を行い、同一条件下での各侵入検出システムの動作を比較する。

4.2 評価基準案の策定

今回実施した調査内容、実験環境での評価結果を踏まえて、侵入検出システムの評価基準案を策定する。

 

参考文献

論文

1)「A Methodology for Testing Intrusion Detection Systems」

Puketza、Nicholas J.、Kui Zhang、Mandy Chung、Biswanath Mukherjee、Ronald A. Olsson、IEEE Transactions on Software Engineering、Vol. 22、No. 10、1966年10月、719〜729

2)「A Software Platform for Testing Intrusion Detection Systems」

Puketza、Nicholas、Mandy Chung、Ronald A. Olsson、Biswanath Mukherjee、IEEE Software、Vol. 14、No. 5、1997年9/10月、43〜51

3)「Simulating Concurrent Intrusions for Testing Intrusion Detection Systems:Parallelizing Intrusions」

Chung、M.、N. Puketza、R. A. Olsson、B. Mukherjee、http://seclab.cs.ucdavis.edu/papers/cpo95.abs

4)「RealSecure Is Fast But Needs Polish」

McClure、Stuart、InfoWorld、Vol. 20、No. 8、Feb. 23、1998、pg. 58 (2).

5)「Insertion、Evasion、and Denial of Service: Eluding Network Intrusion Detection」

Ptacek、Thomas H. and Timothy N. Newsham、Secure Networks、Inc.、1998年1月、63 pp.

6)「Summary of DoD/SPOCK Evaluation of WheelGroup's NetRanger Intrusion Detection System」

WheelGroup、http://www.wheelgroup.com/netrangr/dodspock.html

7)「エージェントを応用したネットワークセキュリティ技術の研究 平成8年度研究成果報告書」

浅香 緑、情報処理振興事業協会 平成9年3月

書籍

8)「Intruison Crack Down」

Ron Hole, Information Security 1998年8月 16〜27

9)「Cryptgraphy and Network Security ? principles and practice second edition」

William Stallings,Prentice Hall、490〜501

Homepages

10) COAST Intrusion Detection Pages

http://www.cs.purdue.edu/coast/intrusion-detection/