# 研究雑記(旧版) ###### tags: `研究まとめ` ## DDoS対策におけるアプローチ #### A.攻撃トラフィックを遮断しよう <details> ⇒ 1. 出来るだけ攻撃元に近い位置で攻撃トラフィックを遮断しよう - メリット 下流に向かって送られるトラフィックを上流で遮断出来るため、被害者から下層ISPなどの帯域幅を消費せずに済む - デメリット 上流であればあるほど検出が難しくなる(流量が減るから当然) 検査をする主体によって利用できる計算資源等が異なる 2. 被害者側が自分のネットワークの管轄する入口でDDoS攻撃トラフィックを遮断しよう - メリット 被害者が自分で設定を行えるため、対策の実行における難易度が低い - デメリット 大量の攻撃トラフィックが来ると、ネットワーク自体がダウンしかねない 検知・遮断サービスに割ける計算・通信資源に限りがある 3. ISPやIXPが入口でDDoS攻撃トラフィックを遮断しよう - メリット ﾃﾞｶｲ量が来ても用意があれば遮断や検知が出来る - デメリット コストやISP,IXP,顧客間の連携が取れていないと難しい </details> #### B.マルウェア---ボット---を検知しよう(iot) <details> - メリット - デメリット - 具体例 1. ファジーパターンによるマルウェア検知・分類 多数の特徴量(ベクトル)入力をもとに、木構造を上に上がりつつ根ノードで結果を見るのがファジーパターン木らしい で、ランダムフォレストよろしくたくさんのパターン作って良さげなのを次世代に据えるとかなんとか('10年の研究が元だけど最先端なのか？) Opcode…? 機械語のようなものらしい、これを精査するとかなんとか 2. マルウェアのコードを画像化して分類する(よく出てくる、流行か？) </details> #### C.MUD profileを利用して通信をホワイトリスト形式で制限しよう - IETFが標準化を進める仕組みにのっとった考え方 いくつかこれの実装、仕組みに関する問題とその解決策を提案した論文がある。 #### 現状求められる改善点とは？ 現状"マルウェア、IoTデバイス由来のDDoS攻撃、その他の検出(特に分類器作って～)"…ってのはテーマとするにはつらい気がしてきた ### それぞれの課題をもっと整理しよう - 機械学習機械学習って言ってるけど、データの更新はどーなってるの？ :arrow_right: 研究機関等が纏めたデータセットを使うことが多い。例:[CIC-DDoS2019](https://www.unb.ca/cic/datasets/ddos-2019.html) - 教師なし学習の性能評価は後にするってあったけど、実際はどうなのか？ ないのか？ 分野的に教師なし学習は"正解のない問題"に使われる傾向が強い(当然か) よって教師あり学習の方が多分一般的 - では検出する主体はどこなの？ ホームルータ(迫真) でもそれって"みんなやれば遮断出来ます！"じゃあ微妙よねとのこと - 主体っていくつ考えられる? IoT管理者、ISP、IXP…？ - IoTならIoTゲートウェイでやればよくない？ なお規模感がさらに分かりづらい模様 先行研究あるかな？ IoTプラットフォーム？？？ - ネットワークの採用している管理方法に合わせた研究が多い…？ ### マルウェアのまとめ <details><summary>Darlloz(マルウェア)</summary> IoTカメラを標的とする[ワーム](https://ja.wikipedia.org/wiki/%E3%83%AF%E3%83%BC%E3%83%A0_(%E3%82%B3%E3%83%B3%E3%83%94%E3%83%A5%E3%83%BC%E3%82%BF)) 他ファイルを宿主とせず、ウイルス等とは区別されたりされなかったり… マルウェアではある(悪意のあるプログラム全体) 感染先の探索はtelnetでやる しかもtelnetが開いてなかったら[脆弱なphpファイル](https://blog.tokumaru.org/2012/05/php-cgi-remote-scripting-cve-2012-1823.html)の脆弱性を利用しようとする </details> <details><summary>BASHLITE</summary> マルウェアの一種 [shellShock](https://blog.trendmicro.co.jp/archives/9957)って言う脆弱性を利用 cf. [busybox](https://ja.wikipedia.org/wiki/BusyBox) </details> <details><summary>Mirai</summary> 16年に発見された超有名マルウェア [ソースコード](https://github.com/jgamblin/Mirai-Source-Code) 驚くことに今現在でも亜種がバンバン出てるっぽい - [出典1](https://threatpost.com/mirai-variant-sonicwall-d-link-iot/164811/) - [出典2](https://success.trendmicro.com/solution/000283375) </details> <details><summary>Brickerbot</summary> IoT機器に感染してハードウェアを破壊するマルウェア 攻撃形態はPDoS(Permanent Denial-of-Service)と言うらしい IoT機器に感染してストレージを破壊する-Redware調べとのこと [記事](https://www.itmedia.co.jp/enterprise/articles/1704/25/news056.html) </details> ## 進行中作業 - 打ち合わせ用資料作成 - 文献調査 - 10月初週の輪講資料作成 - MUDプロファイルによるIoTデバイス監視機構に関する改善点探し :arrow_right:例えばSokの論文では、ユーザープロファイルを可能にしていた。 ## 打ち合わせメモ ゲートウェイ上でトラフィック監視 ### 言われていること 山岡: マルウェア検出の後にどうするかは、やはり運用者に委ねられることが大きい ⇒ 運用者によって方針の差が大きい(議論として) - 極論、求められる新規性とは…？ ## なんか連想用メモ - IoT - IoTプラットフォーム - マルウェア - DDoS検知 - 機械学習 - P2P通信 - LPWAやMQTTなどの通信プロトコル - スマートホーム/シティ - ファームウェア - 更新システム…Over The Air だっけ ファームウェアの分散型更新…集中型更新…? - DNSSEC 一般会員と有料会員に割り振る資源を、どう配分するかって話 :arrow_left: サーバーのリソースが死ぬまでの時間稼ぎ 新規セッションを見捨てても、既存セッションを生かす方法