CCC DATAset におけるマルウェアの変遷

Slides:

Advertisements

Similar presentations

言語情報を利用したテキストマイニング奈良先端科学技術大学院大学情報科学研究科工藤拓山本薫坪井裕太松本裕治.

Advertisements

利用者のプライバシを保護する協調フィルタリング方式の提案 7adrm011 木澤寛厚. 背景商品の量が多い見つからない orz ネットショップ.

パスシーケンスに基づく Drive-by- Download 攻撃の分類東海大学桑原和也菊池浩明中央大学安藤槙悟趙晋輝日立製作所藤原将志寺田真敏.

状況に応じたサービスを提供するための人や物に共通の情報管理

時系列の予測時系列：観測値を時刻の順に並べたものの集合

シーケンシャルパターンマイニングに基づくオブジェクト指向プログラムのための欠陥検出手法

秘匿積集合プロトコルの推薦システムへの応用

ISDASインターネット分散観測：ワームの平均寿命はいくらか？

Zeusの動作解析 S08a1053 橋本　寛史.

プライバシ協調フィルタリングにおける利用者評価行列の次元削減

神奈川大学大学院工学研究科電気電子情報工学専攻

TCP (Transmission Control Protocol)

NEC-早大技術交流会 OpenFlowスイッチによる広域通信の効率的集約法

ファイル送信機能付きマルチキャストチャット

インターネットメールサーバ DNSサーバ WWWサーバファイアウォール/プロキシサーバクライアント.

秘匿積集合プロトコルを利用したプライバシ協調フィルタリングの提案

OSのシグネチャを用いた悪意のある通信の検出法

J-POPの歌詞の分析諸橋ゼミ　３年　須田勇大.

PlanetLab における効率的な近隣サーバ選択法

分散処理を用いた大規模ソフトウェアに対するコーディングパターン検出ツール

B4向け研究紹介 MTAにおけるspamメール判別方法

川口真司松下誠井上克郎大阪大学大学院情報科学研究科

通信トラヒックの相関構造を利用した通信品質の劣化検出

脳活動に関するデータデータの種類データの特徴脳波・脳磁図・fMRI画像脳活動とパフォーマンスの関係はきわめて冗長。

サーバ負荷分散におけるOpenFlowを用いた省電力法

MPIによる行列積計算情報論理工学研究室渡邉伊織情報論理工学研究室渡邉伊織です。

情報管理論 2018/11/9 情報分析の道具 2018/11/9 情報分析の道具情報分析の道具.

過負荷時の分散ソフトウェアの性能劣化を改善するスケジューリングの提案

静的情報と動的情報を用いたプログラムスライス計算法

ＤＮＳトラフィックに着目したボット検出手法の検討

パケットキャプチャーから感染種類を判定する発見的手法について

セキュリティ（６） 05A2013 大川内　斉.

早稲田大学大学院理工学研究科情報科学専攻後藤研究室修士1年荒井祐一

2009年度卒業論文発表 CDNコンテンツサーバの動的負荷分散

WWW上の効率的なハブ探索法の提案と実装

TCP/IP入門　　　　　　　　　櫻井美帆　　　　　　　　　蟻川朋未　　　　　　　　　服部力三.

コードクローン検出ツールを用いたソースコード分析システムの試作とプログラミング演習への適用

TIME SIGNAL: 集合知を利用した赤信号点灯時間の取得手法

通信機構合わせた最適化をおこなう並列化ンパイラ

Ｒ１２マルウェアの連携感染パターンの自動検出方式

演習第6回情報通信技術論インターネット工学

UMLモデルを対象としたリファクタリング候補検出の試み

Webコミュニティ概念を用いた Webマイニングについての研究 A study on Web Mining Based on Web Communities 清水洋志.

A18 スパムサーバの調査～ボットを見抜けるか？～

DNSクエリーパターンを用いたOSの推定

不確実データベースからの負の相関ルールの抽出

TCP制御フラグの解析によるネットワーク負荷の推測

Javaソフトウェア部品検索システムSPARS-Jの実験的評価

C11: 不正アクセスパケットの可視化シャボン

マルウェアの通信履歴と定点観測の相関について

不完全な定点観測から真の不正ホストの分布が分かるか？

ウィルスってどの位感染しているのかな？菊池研究室　　小堀智弘.

コードクローン分類の詳細化に基づく集約パターンの提案と評価

ＩＣＭＰを用いた侵入検知システムの負荷軽減

不正アクセスパケットの地図上での可視化菊池研究室畠山俊樹.

ボットネットはいくつあるか？ダウンロードログからの線形独立な基底数

IDSとFirewallの連携によるネットワーク構築

オブジェクトの協調動作を用いたオブジェクト指向プログラム実行履歴分割手法

秘匿リストマッチングプロトコルとその応用

C9 石橋を叩いて渡るか？～システムに対する信頼度評価～

データマイニングアルゴリズム「アプリオリ」と「ＩＤ３」の比較

運動部活動がソーシャルスキル獲得に及ぼす影響について

◎小堀智弘，菊池浩明(東海大学大学院) 寺田真敏(日立製作所)

クラスタリングを用いたベイズ学習モデルを動的に更新するソフトウェア障害検知手法

分散ハニーポット観測からのダウンロードサーバ間の相関ルール抽出

ウィルスの感染先探索活動を可視化するツール“PacketViewer”の開発

ボットネットの国別マルウェア活動時間なぜインドからの攻撃は日本時間で行われるか？

分散ハニーポット観測からのダウンロードサーバ間の相関ルール抽出

プログラム依存グラフを用いたソースコードのパターン違反検出法

Presentation transcript:

CCC DATAset におけるマルウェアの変遷マルウェア対策研究人財育成ワークショップ2010 (MWS 2010) CCC DATAset におけるマルウェアの変遷東海大学 ◎大類将之菊池浩明日立製作所寺田真敏 KMITL Nur Rohman Rosyid 2010/10/21 3F2-4 攻撃通信データ

PE マルウェアの変遷 PE WO TR WORM A C 連携感染 B 1. 単一 2. 亜種 3. ボットネット 2010/10/21 3F2-4

連携感染の定義(例: PE → WORM, TROJ) 順番初期感染(起点) 命令サーバ HTTP GET(連携) ユーザ IP (A) (B) (C) (D) → すべてのマルウェアに感染後、ポートスキャン開始 PE 初期感染 IRC DNS 命令 DNS WO GET TR DNS GET 2010/10/21 3F2-4

3年間のマルウェアDL数の推移減少傾向ダウンロード数 [DL/週] CCC DATAset [3年間] 2010/10/21 3F2-4

目的問題点なぜマルウェア数は減少傾向にあるのか？連携感染の傾向に変化はないか？ CCC DATAset 3年間に渡るマルウェアの振る舞いに着目し、連携感染の変遷や特徴を調査する膨大な通信データから、連携感染を発見するのは難しい問題点 2010/10/21 3F2-4

我々のアプローチデータマイニング手法を適用し、連携感染を抽出する使用データマイニング手法: Apriori ◎大類，菊池，寺田マルウェア対策研究人材育成ワークショップ (2009年) 使用データマイニング手法: PrefixSpan ◎N. R. Rosyid，大類，菊池， P. Sooraksa，寺田第48回コンピュータセキュリティ研究会 (2010年) 1. 分散ハニーポット観測からのDLサーバ間の相関ルール分析 2. Frequent Sequential Attack Patterns of MW in Botnets 2010/10/21 3F2-4

データマイニングとは？大規模なデータベース(攻撃元データ)から、頻出するパターン(連携感染)を抽出し、閾値を与えることで効率よく有効なパターンのみを発見する有効なパターン 2010/10/21 3F2-4

AprioriとPrefixSpanの違い以下の連携感染例を抽出したい場合に… アイテム集合(順序なし) PEとWORMがセットのとき、TROJもセットであるシーケンス(順序あり) PEのあと、WORMに感染し、その後TROJに感染する( またはその逆) 同時刻に感染 WO PE TR 50回発見 1. Apriori (相関ルール) 2. PrefixSpan (系列パターン) PE WO TR PE TR WO 30/50抽出 50/50抽出 PE TR WO 20/50抽出 2010/10/21 3F2-4

実験データ 72×20分＝24時間約20分間隔攻撃通信データ ※2010年はHoney001 NTPパケットを元に観測期間単位(約20分)に分割攻撃元データ ※2008年はHoneyIDがないため除外全ての攻撃元データを94台のハニーポットに分割し、単純に約20分間隔で分割観測期間単位をスロットと定義するスロットマルウェア名 001 MW(A) MW(B) MW(C) 未感染 002 MW(D) … 072 72×20分＝24時間約20分間隔 2010/10/21 3F2-4

調査項目調査1 マルウェアの活動傾向連携感染の特徴がどうなっているか？連携感染の推移がどうなっているか？調査2 連携感染の活動傾向 1.1: 3年間で観測されたマルウェア 1.2: 連携感染が用いるIRCドメイン 1.3. 連携感染が用いるDNSドメイン連携感染の推移がどうなっているか？ 2.1: 連携感染の推移 2.2: 連携感染のマルウェア構成数 2.3: 連携感染の活動期間調査1 マルウェアの活動傾向調査2 連携感染の活動傾向 2010/10/21 3F2-4

調査方法調査1 マルウェアの活動傾向攻撃元データ、攻撃通信データを調査し、マルウェア名、 DNSドメイン、IRCドメインを抽出すべての1日(72スロット)のデータに対してデータマイニングを適用し、3種類以上のマルウェアで構成される頻出パターン(連携感染)を抽出し、グラフを作成調査1 マルウェアの活動傾向調査2 連携感染の活動傾向 2010/10/21 3F2-4

調査1.1: 3年間で観測されたマルウェア 3年間を通して上位のマルウェア PE_VIRUT.AV マルウェアファミリ名 PEが大多数攻撃元データよりマルウェア名 2008年 2009年 2010年順位 DL数 PE_BOBAX.AK 8位 47654 3位 94324 32位 8018 PE_VIRUT.AV 9位 46741 2位 222207 1位 194557 WORM_ALLAPLE.AK 10位 45033 12位 30319 19位 12564 PE_VIRUT.XV 20位 26518 28位 16625 31位 8424 PE_VIRUT.XZ 46位 14315 51位 8885 33位 7181 PE_VIRUT.PAU 63位 10749 47位 9347 21位 11815 BKDR_VANBOT.HG 93位 6050 43位 11206 24位 10404 3年間を通して上位のマルウェア PE_VIRUT.AV マルウェアファミリ名 PEが大多数 2010/10/21 3F2-4

hub.xxxxx.com が共通して使用されている調査1.2: 連携感染が用いるIRCドメイン攻撃通信データより順位 2008年 2009年 2010年 IRCドメイン数 1位 hub.40684.com 81 hub.14511.com 35 pwned30.ircd.net 31 2位 i 38 - pwned28.ircd.net 30 3位 hub.56689.com 36 hub.63403.com 23 4位 hub.44250.com hub.48023.com 20 5位 aaa.59712.com 3 hub.27827.com 14 6位 irc.foonet.com 2 norks.org 13 7位 bla.com s4.com 8 8位 F3B4433F 1 japp.org 5 9位 irc.force.fo hub.xxxxx.com が共通して使用されている 2010/10/21 3F2-4

調査1.3: 連携感染が用いるDNSドメイン攻撃通信データより 2010年 2008年 2009年順位 DNSドメイン数 1位 botz.noretards.com 133 - 2位 proxim.ntkrnlpa.info 62 3位 checkip.dyndns.org 60 4位 www.whatismyip.org 52 5位 tx.mostafaaljaafari.net 35 6位 tx.nadersamar2.org 32 7位 www.whatsmyipaddress.com 31 8位 www.getmyip.org 28 9位 ss.ka3ek.com 19 31位 10位 ss.nadnadzzz.info 16 81位 11位 ss.MEMEHEHZ.INFO 15 90位 2010/10/21 3F2-4

調査2.1: 連携感染の推移 Apriori – 3種類以上の相関ルール 2010/10/21 3F2-4 相関ルール数 [スロット/月平均] CCC DATAset 2009 ～ 2010 [2年間] 2010/10/21 3F2-4

調査2.1: 連携感染の推移各ハニーポットではどうだろうか？ 2010/10/21 3F2-4 相関ルール数 [スロット/月平均] CCC DATAset 2009 ～ 2010 [2年間] 2010/10/21 3F2-4

調査2.2: 連携感染のマルウェア構成数 PrefixSpan – 感染順を考慮して抽出 2010/10/21 3F2-4 マルウェア構成数 [構成数/日平均] CCC DATAset 2009 ～ 2010 [2年間] 2010/10/21 3F2-4

調査2.2: 連携感染のマルウェア構成数連携感染の推移との比較 2010/10/21 3F2-4 相関ルール数 [スロット/月平均] マルウェア構成数 [構成数/日平均] CCC DATAset 2009 ～ 2010 [2年間] 2010/10/21 3F2-4

調査2.3: 連携感染の活動期間 3種類で構成される連携感染の生存期間頻出パターン数 [スロット/日] 2009年1月～4月 [日] 2010/10/21 3F2-4

考察マルウェアが減少した理由 CCC DATAsetの未検出数 2009年: 221/200 = 1.105倍 2010年: 512/261 = 1.960倍 No. マルウェア名プロトコル攻撃通信攻撃元誤差 1 WORM_DOWNAD.AD TCP 118 79 －39 2 WORM_PALEVO.SMD 106 36 －70 3 WORM_PALEVO.BL 49 12 －37 4 PE_VIRUT.AV 42 26 －16 5 TROJ_BUZAUS.MC 25 11 －14 6 BKDR_RBOT.SMA UDP 43 13 －30 7 BKDR_MYBOT.AH －9 8 WORM_SDBOT.CEM 16 －1 9 WORM_MYTOB.IRC 合計 - 512 261 －251 2010/10/21 3F2-4

考察マルウェアが減少した理由ダウンロード数 [DL/週] CCC DATAset [3年間] 2010/10/21 3F2-4

考察マルウェアが減少した理由ダウンロード数 [DL/週] CCC DATAset [3年間] 2010/10/21 3F2-4

結論過去3年間の攻撃通信データ、攻撃元データを使用し、連携感染の変遷及び特徴を報告した連携感染数が減少する一方で，連携感染のマルウェア構成数は増加傾向にあるこの増加は、2010年の攻撃通信データ、攻撃元データの解析結果から裏づけられた 2010/10/21 3F2-4

CCC DATAset におけるマルウェアの変遷ご清聴ありがとうございました