日時:2007年 3月29日(木) 18:30 から
場所:東京大学 秋葉原拠点 秋葉原ダイビル13階 (地図)
話者1:
後藤 裕輔(中央大学)
話題1:
ログ分析作業の負荷を軽減する視覚化ツールの実装
概要1:
近年,ネットワークにおける不正アクセスの増加が問題となって
いる.不正アクセスを調査し,原因と形跡を特定するには,ログ
解析が不可欠であるが,従来の手法は膨大な量のログから攻撃の
痕跡を探すのに大きな時間と労力を要し,セキュリティ管理者の
負担になっていた.本研究では,ログデータ視覚化ツールの提案
・実装を行う.このツールには,ログの時系列棒グラフによる表
示や種類別のフィルタリング機能があり,大量のログデータを処
理/表示できる.特に,平常時のログを統計的に分析し,視覚化表
示する.これを現状と比較することで,ユーザが各種の異常を容
易に視認することができる.
話者2:
渡辺 直彦(中央大学)
話題2:
静脈認証のなりすまし
概要2:
近年,身体的特徴等を用いて個人を自動的に認証するという生体
認証方式(バイオメトリクスとも呼ばれる)が金融や交通等をはじ
めとする幅広い分野において採用されつつある.特に,静脈認証
方式が,銀行のATMにおける顧客の本人確認等に利用されはじめて
おり,今後静脈認証方式のセキュリティの確保が一層重要になる
と考えられる.話者らの研究では,論文等において詳細が公開さ
れているアルゴリズムをセキュリティの観点から理論的に評価す
るというアプローチを採用し,三浦らによって提案された静脈認
証方式におけるアルゴリズムの安全性について検討した.三浦ら
の方式の実装を行い,シミュレーションによってなりすましの可
能性を検討した.
出席者:20名
伊知地宏(ラムダ数教研)、櫻田武嗣、並木美太郎(東京農工大)、 斉藤正伸、山崎晃拓(IIJ)、美添一樹(中央大)、三廻部大(東京工業大)、 飯島浩光(電脳外道学会)、横山大作、笹田耕一(東京大)、 小川宏高、宇根正志、繁富利恵(産総研)、日比野啓(朝日ネット)、 石畑清(明治大)、勝木貴志、五十嵐知久(電気通信大OB)、 寺田実、高須賀清隆、丸山一貴(電気通信大)
Q1, 平均値はある期間の平均値と聞いたが、なぜ高さが違うのか (寺田先生?)
(1日の中のグラフのところ)
A1, これは時間帯ごとの平均値である。
Q2, 今後の予定として、統計にいくと言っていたが、サーバのログでは
1発でもこれがあったらアウトという性質のログもある。
(セキュリティホールを突かれた場合など)
そういう方向には行かないのか。
A2, そういうものにはフィルタリングルールで対応したい
Q3a, 使ったのはパケットフィルタのログだけか
A3a, 今回使ったのはsyslog形式のファイアウォールログのみ
Q3b, メールサーバなどのサーバアプリケーションのログを使う予定は無いか
A3b, 今のところは無い
Q3c, 使ったログの量はどの程度か
A3c, 1ヶ月間くらいで数十MBくらい
Q3d, サーバではリアルタイムでログが記録されるので、
同じセッションのログが複数の行に分かれていたりするので
それを統合するための工夫が必要だったりするので
あと量も凄くてリアルタイムで間に合うのかな、とか
後から検索しやすい方向に行くとかそういうのは無いですか
Q4, これで発見できる異常とか分かりやすい異常というのはどういうものを
想定しているか
頻度で見つけられるものは何か
それをより分かりやすくする工夫はあるか
目的が何か分かりにくい
A4, 今回は頻度に着目している
同じIPアドレスから来た場合とか
…
Q5, 一つ一つ、実際に異常のあった場合にそれが見つかるか、とかそういうことを
やって欲しい。
たくさんデータを集めてやってくれると面白いはず
Q6, 今回は異常があったことを統計的に検出するということだが、
分布に異常があったことを検出するということでよいか
それなら、分布とは何か
それなら、つまりある特定の日が、ほかの日と比べて異常であることを
判定したいのか
ある日のTCPがほかの日のTCPと違うとか
1日単位での分布を調べるのは、どの程度意味があるのか
A6, 時間軸ごとの頻度である。
Q7, 実際の用途では、例えば某国から攻撃があったら10分15分で検出できないとまずい
A7, (美添)将来的にはリアルタイムで表示することを考えている
Q8, ウェブサーバの負荷分散の表示とかには面白いかも
テレホーダイの時間は多いとか
Q9, 時間帯によってフィルタを変えることにして、
例えば朝、人が出勤する前はこういうデータが欲しくて、とか
Q10, (いちじさん)検定の方法を今二つ入れてますが、実際にやってみて
すでに何か得られたのか
どっちの検定がどういう状況に有効なのかとかあるのか
将来、これ以外の手法を入れたら何か出てくるという期待はあるか
A10, 今のところは検定手法ごとに大きな違いは無い
何らかの統計手法があることが前提で、リアルタイムで表示するのを目指していた。
Q11, これをリアルタイムで使うことを考えると、管理者はずっと見ていないと
いけないので、リアルタイム性はIDSとかに任せた方が良いのでは。
A11, (聴衆から回答)それでもリアルタイムで分かるのは意義があるのでは
IDSではfalse positiveが多いから、統計が有効であれば面白いかも
でもIDSに統計処理を入れればいいけど
Q12, 異常のあった日が分かっているのなら、そこを比較するべき
Q13, 攻撃データ以外に応用することは何か考えているか
攻撃とはぜんぜん違う視点でも面白いかも
A13, 考えていない
Q14, 数十MBのログをナビゲートするのにスクロールバーはひどいのでは
Q1, 3x3を1ピクセルに縮小するところなのだが、元データの解像度はどのくらいか
A1, 180x240ピクセルである
Q2, 1/3は縮小した後の話か (シミュレーション1 抽出アルゴリズム、のところ)
A2, そのとおり
Q3, 相違度の期待値の計算は、領域の割合だけでできるのか?
受理されるかされないかは期待値いくつで受理される、と出るのか
A3, 期待値で求めたのだが、その求め方は、
それぞれの領域がどこに当たるかを、確率で計算した。
MNM論文に載っていた閾値を元に、受理されるかどうかを計算した
Q4a, 生体指もそうなのだが、とった画像の指以外の部分も含めて評価しているのか
A4a, そのとおり
Q4b, そこも含めて比較する必要があるのでは。指の大きさとか
指が大きければ静脈が多くて、小さければ静脈は小さいとか
あと、正規化の部分がちゃんと分からないとちゃんとした評価はできないのでは
A4b, (宇根さん)そのとおりだが、まず最初に少しは明らかにしないと、
メーカーさんから何も教えてもらえないので…
Q5, マッチングのところで重みをつけてやればいいのではないのか
そうやって対応されちゃうと思うのだが
こうやって危ないところが分かったので、今後どうやってそこを対応するのか
示さないといけないのでは
A5, (繁富さん)安全性がそもそも明らかでないので
(宇根さん)認証精度を落とさずに、こういう変なデータ(ウルフ)を
リジェクトする方法はどういうのがいいのか、という話をしたいのだが、
メーカーさんはまだ話をしてくれないので…
Q6, 全部曖昧領域になるのは見つからなかったと言っているが、
まだ無いと決まったわけではないよね
A6, 今回は21パターンしかやっていないが、他のパターンを試すとあるかもしれない
しかし画像が大きいので…
線追跡の特性を明らかにするにはどうしたらいいのか、とか考えることはいっぱい…
しかしビールが我々を待っているのだ