--- tags: 研究 robots: noindex, nofollow --- サーベイ === ## Deep Packet Inspectionとフロー情報読み取り型の位置づけ調査 ### Flow Monitoring Explained: From Packet Capture to Data Analysis With NetFlow and IPFIX - アクティブモニタリング - ping, traceroute,... - パッシヴモニタリング - DPI (Deep Packet Inspection) - In-line mode - リンクに対してタップを接続し，タップで収集を行う．コストがかかる - Mirroring mode - ポートミラーリング機能を用いて収集を行う．ミラーリングを行うリンクは大きな帯域幅が必要になる． - フローエクスポート(フローメータリング) #### 所感 - DPIとフローエクスポートについて，フローのエクスポートタイミングや損失する情報(各パケットの時刻)などについては述べられていなかった - 現状，フローのエクスポートは迅速性の必要な攻撃に対して有効ではないという言質がほしい ### Towards real-time intrusion detection for NetFlow and IPFIX (2014) - NetflowやIPFIXの仕様上，フローベースIDSはフローの計測と収集の間に遅延が発生する[11] - フローがタイムアウト時にエクスポートされる - フローコレクタが周期的なチェックしかサポートしていない - フローのタイムアウトの一般的な値は15秒 (CiscoのIOSのフォルト値)から60秒(JuniperのJunosのデフォルト値) - フローコレクタのチェック間隔は5分(NfSen) - DDoS検出システムのプロトタイプはFlowMonプラットフォームを用いてエクスポータ上に実装 - 秒間に生成されたフローの数をカウントし，送信元IPアドレス毎に累積和(CUSUM)を見ることで異常検知，以上だったらブラックリストに登録 #### 所感 - 自身の提案手法と着想は類似しているが，Netflow/IPFIXのエクスポータとして実装するかOpenFlowを用いているかが異なる - 既存のフローコレクタが周期的なチェックしかサポートしてないというソースがあって有意義 - 各スイッチでポートミラーリング用いてエクスポータにパケットを転送しているが，それならばフローではなくそのパケットを直接分析すればいいという - 2014年の論文と少し古めなのが気になる ### An Overview of IP Flow-Based Intrusion Detection (2010) - パケットベース手法はGbpsネットワークには適用が困難or不可能 [4][5] - フローベースはパケットベースと違ってペイロードの情報が読めない #### 所感 - パケットベースとフローベースの利点や欠点がまとめられていてよかった - 2010年の論文なので参考文献として提示するには弱い ### Anomaly-Based Intrusion Detection From Network Flow Features Using Variational Autoencoder - DPIと比べてフローベースのアプローチは処理するデータ亜料が少なく，標準プロトコルによって追加のソフトウェアのインストールが不要で，各コンピュータに関するデータの収集が容易[1] ### FlowMon ADS - FlowMonのプラグインとして，フローから振る舞い検知を行う製品 - DDoSやポートスキャンにも対応している - エクスポータからコレクタにフローデータを取り込むのに5分程度の時間を要するため，リアルタイムではないとの記述あり(https://www.orizon.co.jp/products/flowmon/faq/) - 30秒，1分，5分粒度でのプロファイリングに対応とあるため，最低でも30秒は遅延が発生する(https://www.orizon.co.jp/wp-content/themes/orion/images/products/flowmon/Flowmon_VersionGuide0900.pdf) ### Survey on network flow watermarking: model, interferences, applications, technologies and security - フロー情報の相関からホストの追跡等を行う研究に関するサーベイ - 自身の研究とはあまり関係がなさそう ### A survey on deep packet inspection - フローの多様化によりシグネチャベースの手法を適用する際に大量のシグネチャとのマッチングが必要となり，手間がかかっている - OSやハードウェアのボトルネックとなる - 暗号化されたデータに対して既存手法が適用不可能 - SDNを用いてすべてのパケットをコントローラに送信することで柔軟なDPIを実現する手法についても紹介されている ### A Survey on Network Measurement for Software-Defined Networks - SDN環境でネットワークのレイテンシを測定したりする内容で特に統計情報やPacket-Inメッセージには触れられていなかった ### Security Data Collection and Data Analytics in the Internet: A Survey - パケットレベルで得られる情報(ペイロード，パケット数，タイムスタンプ等)について，それらが何に有用かがよくまとまっている - フローに関しても同様．フローレートに関する記述もあり． - コネクションレベルデータについても分析がなされている． - パケットやフローよりも粒度が高く，コネクションの再現に比較的多くのリソースが必要となる - パケットレベルデータはペイロードとヘッダの情報を完全に持つため，より詳細であるが，プライバシーの問題とGbpsネットワークには適さないという問題がある． - フローレベルデータの収集は広く普及しているとともに，高速ネットワークに適しており，分析対象となるネットワークトラフィック料を削減することが出来る．しかし，ペイロードの情報を用いたパターンマッチング等には利用できない． - DDoS攻撃，ワーム攻撃について，パケットレベル等の各手法をまとめている ### A Survey on Network Security Monitoring Systems - snortやsuricata,broと呼ばれるIDSの比較と定性的な相対評価を行っているが，フローエクスポート方式には触れているだけで特に問題点の提示等はなし