sonickun.log

備忘録

ダークネットの基礎知識

 最近興味を持って研究している「ダークネット」について紹介します。

ダークネットとは

 ダークネットとは「インターネット上で到達可能なIPアドレスのうち、特定のホストが割り当てられていないアドレス空間」のことを言います。
 IPv4のアドレスは約43億(2の32乗)通りありますが、その全てにホストコンピュータが割り当てられているわけではありません。ダークネットはその使われていないアドレス群のことを言います。

 下の図はIPv4アドレス空間を可視化したもので、黒色の部分がホスト未割り当ての領域、つまりダークネットを示しています。
 f:id:sonickun:20140611230112p:plain

引用:
Dainotti, K. Benson, A. King, k. claffy, M. Kallitsis, E. Glatz, and X. Dimitropoulos, “Estimating Internet address space usage through passive measurements'', ACM SIGCOMM Computer Communication Review (CCR), vol. 44, no. 1, pp. 42--49, Jan 2014.
http://www.caida.org/publications/papers/2014/passive_ip_space_usage_estimation/supplemental/


 ダークネットのアドレスにはホストが割り当てられていないのですから、普通に考えればダークネットに対してパケットが送信されることはないはずですが、実際にはダークネット上で相当数のパケットが観測されるのです。


 f:id:sonickun:20140611224740p:plain



ダークネットでトラフィックが観測される理由

 ダークネットを流れるパケットの多くは、不正な行為・活動に起因するものが多いと言われています。その要因とは次のようなものです。

などなど…
 
 つまり、ダークネットのトラフィックを分析することで、サイバー攻撃やマルウエア感染の大局的な傾向をリアルタイムに捉えることができるのです。

 実際にダークネットの解析により、DDoS攻撃などの異常検知をしたりすることもできます。他にも多くの論文でさまざまな解析手法が発表されていますが、今回は「ダークネットの基礎知識」ということで、説明を省略しようと思います。
 
 下の画像はクルウィットで開発された、ダークネットを利用したサイバー攻撃アラートシステム「SiteVisor Ultimate」の画像です。なんかかっこいい。
 f:id:sonickun:20140611233342j:plain

引用:
標的型(APT)攻撃を可視化する 対サイバー攻撃アラートサービス “SiteVisor Ultimate” の提供を開始, 株式会社クルウィット
http://www.clwit.co.jp/pdf/SiteVisor_Ultimate.pdf

 
 このようにダークネット研究の目的は、新たな解析手法を提案し、これまで埋もれていたダークネット、あるいはネットワーク全体の特性を発見し、セキュリティ向上に活かすことです。
 
 

 僕自身、8月にダークネットの論文を投稿する予定なので、現在論文を読み漁ったり、データを触りまくったりしている最中です。

 ではこの辺で。