Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SecAd~Ad data drivin’ network security~

Honahuku
November 12, 2023
81

SecAd~Ad data drivin’ network security~

CODEBLUE2023のワークショップであるCyber TAMAGOにて発表した際の資料です

Honahuku

November 12, 2023
Tweet

Transcript

  1. SecAd
    Ad data drivin’
    network security
    CODE BLUE 2023
    Honahuku

    View full-size slide

  2. Ad data drivin’
    network security..?

    View full-size slide

  3. Background :
    network watch technology
    • ネットワーク管理者やISP、その他団体などはネッ
    トワークの監視のために監視システムを導入するこ
    とがある
    • 近年のネットワークでは暗号化が進み、平文のトラ
    フィックは少なくなっている
    • URL等の監視に使う情報も暗号化されている[1]
    CyberTAMAGO / SecAd 3
    図1, JPCERT/CCのポートアクセス先ポート別グラフ[2] 図2, KDDI-SOCでの広域モニタリングシステム[3]

    View full-size slide

  4. Background :
    watch technology example (1)
    • SSL/TLSの場合、アクセスしたサイトのホスト名を
    SNIから取得可能[3]
    • URL内のパス等の情報は暗号化されている[3]
    CyberTAMAGO / SecAd 4
    図3,
    RFC2818[3]

    View full-size slide

  5. Background :
    watch technology example (2)
    • Deep Packet Inspectionでパケットのペイ
    ロードを検査する手法も提案されている[4]
    • ペイロードを検査するためにSSL Interception等の
    中間者検査を行う手法もある
    • SSL Interceptionによる新たなセキュリティリスクも
    考えられる[5]
    CyberTAMAGO / SecAd 5
    図4,
    SSL Interceptionのフローチャート[5]

    View full-size slide

  6. Background :
    Secure protocol example (1)
    • セキュアなプロトコルの例としてDoH(DNS over
    HTTPS)やQUICなどプロトコルの登場
    • encrypted SNI(ESNI)[6][7] ではSNIもマスクさ
    れる
    • 監視できる通信がさらに減少する懸念
    CyberTAMAGO / SecAd 6
    図5,
    ESNIの議論ステータス[7]

    View full-size slide

  7. 課題と目的
    • 暗号化された通信にて悪意のあるトラフィックや
    サイトを検出することは難しい
    • コンピューターやスマートフォンにエージェントを
    導入することなく攻撃を防ぎたい
    • コンピューターリテラシーなどユーザーに頼らな
    い形でもリスクの検出を行いたい
    CyberTAMAGO / SecAd 7

    View full-size slide

  8. NIDSによる攻撃検知(1)
    • 山田ら[8]は従来のNIDSとして以下の3つを
    挙げている
    1. 暗号化された通信を復号して監視する方式
    2. 暗号化された通信を復号せずに監視する方式
    3. 暗号化されていないWeb通信に対する攻撃検知
    CyberTAMAGO / SecAd 8

    View full-size slide

  9. NIDSによる攻撃検知(2)
    • 山田ら[8]は、「1. 暗号化された通信を復号せずに監視
    する方式」を応用したHTTPヘッダの変数を予測する方
    式を提案している
    • この手法ではHTTPヘッダの変数そのものを知ることは出来な
    い。
    • リクエストされるURLを識別できないため検知精度が低下する
    CyberTAMAGO / SecAd 9
    図6,
    山田らの提案した方式の予測フロー[8]

    View full-size slide

  10. NIDSの課題
    • NIDSはCode InjectionやBuffer
    overflowといったアプリケーションに対する
    攻撃と、ポートスキャン等の攻撃調査トラフィッ
    クを検出する事ができる
    • しかしCredential-based attacksや
    Social Engineering(フィッシング等)に対し
    ての防衛は難しい
    CyberTAMAGO / SecAd 10

    View full-size slide

  11. 解決手法の提案 (1)
    • 広告業界が持つ広告ネットワークや分析・解析
    手法をネットワークセキュリティへ活用する
    • ネットワークセキュリティで必要となるユーザー
    行動予測やリアルタイムリスク評価をAd
    Exchangeや広告オークションのデータを元に
    行う
    CyberTAMAGO / SecAd 11

    View full-size slide

  12. 解決手法の提案 (フローチャート)
    CyberTAMAGO / SecAd 12
    図7, 提案する監視システムのフローチャート

    View full-size slide

  13. 実装方法
    • 広告系データをもとにネットワーク上のホストに
    対して攻撃が行われているかを確認する
    • ミニマムな広告ネットワークと媒体を作成し、
    ユーザーとしてアクセスする
    • 可能であれば、広告事業者からデータを取得す

    CyberTAMAGO / SecAd 13

    View full-size slide

  14. SecAdの特徴(1)
    • 端末へのインストールを必要としない
    • ISPや上位ネットワークシステムからユーザーへの
    通知を行う
    • 有害サイト閲覧前に警告を表示
    • サイト情報の更新を自動化し、検出から対応ま
    でが早い
    • ユーザーのアクセスをトリガーに判断
    CyberTAMAGO / SecAd 14

    View full-size slide

  15. SecAdの特徴(2)
    • ユーザーのリテラシーに依存しない
    • (2人目以降のアクセスなら)ページ表示前に警告を
    表示可能
    • ドメインだけでなくURLのpathまで取れる
    • 広告ネットワークはimpression計測のために
    pashや広告枠情報を把握している
    CyberTAMAGO / SecAd 15

    View full-size slide

  16. 懸念・課題点
    • プライバシーと関連法案対応
    • 個人情報の保護に関する法律
    • GDPR (EU一般データ保護規則)
    • 1人目のユーザーに対しての保護が出来ない
    • 誰かがアクセスしたサイトに対して判断を行い、そ
    れを以降のアクセスに反映するため
    • 広告技術が用いられていないページに対してア
    プローチできない
    • 既存の手法との組み合わせを検討
    CyberTAMAGO / SecAd 16

    View full-size slide

  17. 解決手法の提案 (フローチャート)
    CyberTAMAGO / SecAd 17
    図7, 提案する監視システムのフローチャート

    View full-size slide

  18. 懸念・課題点
    • プライバシーと関連法案対応
    • 個人情報の保護に関する法律
    • GDPR (EU一般データ保護規則)
    • 1人目のユーザーに対しての保護が出来ない
    • 誰かがアクセスしたサイトに対して判断を行い、
    それを以降のアクセスに反映するため
    • 広告技術が用いられていないページに対してア
    プローチできない
    • 既存の手法との組み合わせを検討
    CyberTAMAGO / SecAd 18

    View full-size slide

  19. 参考文献
    [1]Eric Rescorla, 「HTTP Over TLS」, 2000年5月, RFC2818, Internet Engineering Task
    Force (IETF)
    [2]一般社団法人JPCERTコーディネーションセンター, 「TSUBAME(インターネット定点観測システム)」,
    2023年04月11日更新, https://www.jpcert.or.jp/tsubame/, 2023年10月17日閲覧
    [3]竹森, 三宅, 田中, 「ネットワーク間プロファイル比較による攻撃異常検知」, 2005年03月22日, 情報
    処理学会研究報告コンピュータセキュリティ(CSEC)
    [4]Merve ÇELEBİ, Alper ÖZBİLEN, Uraz YAVANOĞLU, 「A comprehensive survey on
    deep packet inspection for advanced network traffic analysis: issues and
    challenges」, 2023年01月15日, Niğde Ömer Halisdemir Üniversitesi Mühendislik
    Bilimleri Dergisi
    [5]Zakir Durumericら, 「The Security Impact of HTTPS Interception」, 2017年02月27
    日, NDSS Symposium 2017
    [6]Achiel van der Mandeleら, 「Encrypted Client Hello - the last puzzle piece to
    privacy」, 2023年09月29日, https://blog.cloudflare.com/announcing-encrypted-
    client-hello/, 2023年10月17日閲覧
    [7]Eric Rescorlaら, 「TLS Encrypted Client Hello」, 2023年10月09日,
    https://datatracker.ietf.org/doc/draft-ietf-tls-esni/, Internet Engineering Task
    Force (IETF), 2023年10月17日閲覧
    [8]山田ら, 「SSL/TLS で暗号化されたWeb 通信に対する侵入検知システム」, 2008年03月15日, 情報
    処理学会論文誌
    CyberTAMAGO / SecAd 19

    View full-size slide