WIDE Paper-List in 2008 トレースバックWG 2008年度研究発表一覧 wide-paper-traceback-hazeyama-2008-00.txt WIDE Project: http://www.wide.ad.jp/ If you have any comments on this document, please contact to ad@wide.ad.jp. Title:トレースバックWG 2008年度研究発表一覧 Author(s):櫨山寛章, 門林雄基, 宮本大輔 Date:2008-11-24 @ARTICLE{Matsumoto:200805, AUTHOR = {Yoshihide Matsumoto and Hiroaki Hazeyama and Youki Kadobayashi}, TITLE = {Adaptive Bloom Filter : Space Efficient Counting Algorithm for Unpredictable Network Traffic}, JOURNAL = {IEICE Transactions on Information and Systems}, VOLUME = {E91-D}, NUMBER = {5}, MONTH = {May}, YEAR = {2008} } # Additional data for readers url: x-wide-wgnames: traceback keywords: IP traceback references: summary_ja: summary: The Bloom Filter (BF), a space-and-timeefficient hash-coding method, is used as one of the fundamental modules in several network processing algorithms and applications such as route lookups, cache hits, packet classification, per-flow state management or network monitoring. BF is a simple space-efficient randomized data structure used to represent a data set in order to support membership queries. However, BF generates false positives, and cannot count the number of distinct elements. A counting Bloom Filter (CBF) can count the number of distinct elements, but CBF needs more space than BF. We propose an alternative data structure of CBF, and we called this structure an Adaptive Bloom Filter (ABF). Although ABF uses the same-sized bit-vector used in BF, the number of hash functions employed by ABF is dynamically changed to record the number of appearances of a each key element. Considering the hash collisions, the multiplicity of a each key element on ABF can be estimated from the number of hash functions used to decode the membership of the each key element. Although ABF can realize the same functionality as CBF, ABF requires the same memory size as BF. We describe the construction of ABF and IABF (Improved ABF), and provide a mathematical analysis and simulation using Zipf’s distribution. Finally, we show that ABF can be used for an unpredictable data set such as real network traffic. misc: @INPROCEEDINGS{Hazeyama:IA200807, AUTHOR = {櫨山寛章 and 若狭賢 and 門林雄基}, TITLE = {{実証実験に向けたIP トレースバックシステム導入シナリオに関する一考察}}, BOOKTITLE = {電子情報通信学会技術研究報告, IA2008-14}, PAGES = {25--30}, MONTH = {July}, YEAR = {2008} } # Additional data for readers url: x-wide-wgnames: traceback keywords: IP traceback references: summary_ja: 我々の研究グループではIP トレースバックの実用化に向けて平成20 年度に日本国内の商用ISP5 社程度を交えた事前実験,および平成21 年度に商用ISP20 社程度を交えた実証実験を計画している.事前実験および実証実験の準備行うに至り,効果的な導入ISP の配置や,何社に協力を仰げば日本国内全体を不完全ながらも網羅できるのかといった疑問が挙がっており,IP トレースバック導入による効果に関し予備調査を行う必要がある.本稿ではCAIDA Project のeBGP 観測情報に基づいた国内外AS 間の接続情報をもとに,国内AS 網におけるIP トレースバックシステム導入の効果をシミュレーションにより調査した.調査した結果,国内AS 上位5 社に導入すると国内AS 網に対し70%以上の追跡可能性を実現でき,また小規模・中規模トランジットAS からIP-TB を導入した場合でも,13AS に IP-TB が導入されれば国内AS 網に対する追跡可能性は50%以上になることが明らかとなった. summary: Our research group is planning to try a field test of IP traceback with commercial ISPs in fiscal 2008 and fiscal 2009. On planning the field test, we have to create an effective deployment scenario. To create an effective deployment scenario, we preliminary evaluated the traceability in Japan eBGP networks by a prototype simulation tool with several deployment scenarios. The simulation results show that the traceability will be over 70% if top 5 ASes in Japan deploy IP traceback in thier networks. The results also present that when small or medium scale ASes deploy IP traceback, the traceability on eBGP networks in Japan will be over 50%. misc: @INPROCEEDINGS{Miyamoto:IA200809, AUTHOR = {宮本大輔 and 櫨山寛章 and 門林雄基}, TITLE = {{Mesh of Trees トポロジにおけるトレースバックメッセージ伝達効率に関する一考察}}, BOOKTITLE = {電子情報通信学会技術研究報告 信学技報 Vol.108 No.223 (ISSN 0913-5685)}, PAGES = {19--24}, MONTH = {September}, YEAR = {2008}, URL = {pdf/Miyamoto-IA200809.pdf} } # Additional data for readers url: x-wide-wgnames: traceback keywords: IP traceback references: summary_ja: 本論文では,現在のインターネットのトポロジとして知られるMesh of Trees トポロジにおける,トレースバックにおける追跡メッセージの伝達効率に関する考察を行う.IP トレースバック方式の1 つであるInterTrack は逆探知を行うために送受信する追跡メッセージの数が,トポロジの複雑であればあるほど増加する.そこで,Mesh of Trees トポロジにおいてメッシュを構成するコアAS,ツリーを構成するリーフAS,及びその中間にあたる中規模AS にそれぞれトレースバック装置を配備した場合を想定する.この想定に基づき,CAIDA の提供するAS 隣接データセットを用い,各AS 群にトレースバック装置を配備した際における,追跡メッセージ数と追跡可能性について調査を行い,メッセージ伝達効率を観察する.さらに,追跡メッセージの伝達効率が高い配備シナリオについて考察を行う. summary: In this paper, we explain the effectiveness of traceback messages forwarding in mesh of trees network topology. Within our proposed IP traceback system, named InterTrack [1], the number of the messages for discovering the attack source and/or constructing attack path would increase when the network topology is complicated. We focus on mesh of trees network topology and assume our system deployed in the core ASes which organize mesh network, the leaf ASes which organize tree network, and other ASes, respectively. Based on this asusmption, We investigate both the number of traceback messages forwarding and the traceability for observing the effectiveness of traceback messages forwarding. Finally, we consider the deployment scenario for achieving high effectiveness. misc: @MISC{HAZEYAMA:APAN26200808, AUTHOR = {Hiroaki Hazeyama}, TITLE = {{A trail of traceback system in Interop Tokyo 2008}}, HOWPUBLISHED = {APAN 26th Qweenstown}, MONTH = {August}, YEAR = {2008}, URL = {http://www.apan.net/meetings/newzealand2008/presentations/sip/hazeyama.ppt} } # Additional data for readers url: x-wide-wgnames: traceback keywords: IP traceback references: summary_ja: Interop 2008 Tokyo にて AS境界追跡用 ハッシュ型IP トレースバックシステムの相互接続検証と運用試験を行った.運用実験では出展社ネットワークに設置した侵入検知システムから追跡トリガーを出し,Interop 2008 Tokyo のネットワーク (AS 290)に隣接するどのASから転送されたのかの判別を行った.追跡実験では,AS 290 内部のIPアドレスブロックに送信元IPアドレスを偽装した疑似攻撃パケットをAS 290 外部から送信し,IPトレースバックシステムにて正確に外部から流入した攻撃であることを判定できた. summary: We developed a Hash-based IP traceback system and we had a trial of IP traceback operation in Interop Tokyo 2008 from 11th June to 13th June, 2008. The IP traceback system audited all external links of Interop Tokyo 2008. Triggered by alerts from Intrusion Detection Systems settled in customer side, the IP traceback system traced the actual external path of attacks, even when a target packet was source IP spoofed packet. misc: @MISC{HAZEYAMA:CSIRTJWS200803, AUTHOR = {櫨山 寛章}, TITLE = {{インタードメイン・トレースバックシステムの概要}}, HOWPUBLISHED = {CSIRT Joint Workshop on Security 2008, Tokyo}, MONTH = {March}, YEAR = {2008}, URL = {http://www.nca.gr.jp/jws2008/WSC-telecom-isac-japan-1.pdf} } # Additional data for readers url: x-wide-wgnames: traceback keywords: IP traceback references: summary_ja: トレースバックの実証実験を進めるべく,NICT委託研究にて共同研究を行っているテレコムアイザックジャパンとともに,日本シーサート協議会Joint Workshop on Security 2008, Tokyoにて口頭発表を行った.発表では,平成17年度より研究活動を推進してきたトレースバック研究は、平成20年度、21年度にISP環境で実証実験を行う予定であることと,その準備として平成19年度に行ったトレースバックシステム間の相互接続試験やNICT北陸リサーチセンター内大規模シミュレーション施設で行ったシミュレーション実験に内容について説明を行い,平成20年度,21年度の実験概要を説明し、実験参加者を募った。 summary: misc: @MISC{HAZEYAMA:JAIPAICT200807, AUTHOR = {櫨山 寛章}, TITLE = {{Telecom-ISAC Japanの御紹介: トレースバック研究のご紹介 A: 大規模Simulation}}, HOWPUBLISHED = {JAIPA ICT 沖縄フォーラム}, MONTH = {July}, YEAR = {2008} } # Additional data for readers url: x-wide-wgnames: traceback keywords: IP traceback references: summary_ja: トレースバックの実証実験を進めるべく,NICT委託研究にて共同研究を行っているテレコムアイザックジャパンとともにJAIPA 沖縄ICTフォーラムにてトレースバック研究のの研究成果について口頭発表を行った. summary: misc: @MISC{Hazeyama:APRICOT200802, AUTHOR = {Hiroaki Hazeyama and Gregory Blanc and Youki Kadobayashi}, TITLE = {{sFlow-based AS Border Traceback}}, HOWPUBLISHED = {Asia Pacific Regional Internet Conference on Operational Technologies (APRICOT 2008)}, URL = {http://submission.apricot.net/chatter08/slides/services-stream/security/Feb27-Services-Security-hazeyama-apricot2008-pdis.pdf}, MONTH = {February}, YEAR = {2008} } # Additional data for readers url: http://submission.apricot.net/chatter08/slides/services-stream/security/Feb27-Services-Security-hazeyama-apricot2008-pdis.pdf x-wide-wgnames: traceback keywords: IP traceback references: summary_ja: 単一AS内におけるトレースバック技術として,sFlow version 5 を用いたトレースバックシステムを開発した.開発を行う上で,単純にsFlow version 5 を収集するだけではサンプリングされたパケットの転送元ASおよび転送先ASを正確に判定できないことがわかり,研究の結果,送信元アドレス偽装されたパケットに関しても正確に転送元ASおよび転送先ASを特定できるアルゴリズムを開発した.この研究成果に関してAPRICOT 2008 Taipei のSecurity Services トラックにて口頭発表を行い,環太平洋のISPオペレータらから貴重な意見を得ることができた. summary: We developed a sFlow based AS Border Tracekack system, which can infer the actual direction of each sampled packet in AS hop level, even when a sampled packet was source address spoofed. We had a presentation in APRICOT 2008 Taipei, and we got several comments from ISP operators in Asia Pacific area. misc: @INPROCEEDINGS{Murakoshi:CSS200810, AUTHOR = {村越優喜 and 宮本大輔 and 櫨山寛章 and 門林雄基}, TITLE = {{sFlowを用いたIPトレースバック手法の評価}}, BOOKTITLE = {コンピュータセキュリティシンポジウム 2008 (CSS 2008)}, PAGES = {449--454}, MONTH = {Oct.}, YEAR = {2008} } # Additional data for readers url: x-wide-wgnames: traceback keywords: IP traceback references: summary_ja: DDoS 攻撃への対策手法の一つとして,送信元IP 詐称パケットの攻撃元の特定も行えるIP トレースバック技術があり,なかでもパケットのハッシュ値のみを記録するダイジェスト方式がその追跡精度と安全面の両面から実用的であると期待されている.しかし,ダイジェスト方式ではポートミラー等でAutonomous System 内を通過するすべてのパケットを収集し記録することが期待されているため,大規模なネットワークでは設置コストが高い.そこで本論文では,パケットサンプリング技術であるsFlow に着目し,sFlow を用いることにより,一定の追跡精度を維持したままダイジェスト方式を用いたIP トレースバックにとって効率的なパケット収集を構築できるか否かを検討する.本論文では,sFlow でサンプリングしたパケットを追跡用のパケットダイジェストとして用いるダイジェスト方式IP トレースバックシステムを実装し,この実装のみを用いた場合のIP トレースバックの成功率及びシステムの負荷について実験を行った. summary: In this paper, we assess a question, “Can a flow sampling technique ease the deployment cost of Hashbased IP traceback system with keeping high degree of traceability?” Hash-based IP traceback method has high traceability and privacy preserving features, however, it expects to every Autonomous Systems (ASes) for collecting all packets which pass through all AS Border Routers (ASBRs). Because of this feature, Hash-based IP traceback forces to a large AS to spend huge deployment fee. Flow sampling techniques are expected to reduce the deployment cost for collecting packets forwarded on ASBRs. We assess this question by experiments with our prototype implementation in a simple network topology. misc: