ISDASインターネット分散観測: ワームの平均寿命はいくらか? ○小堀智弘(4年),福野直弥,菊池浩明(東海大学) 寺田真敏(日立製作所) ,土居範久(中央大学)
[1] 菊池ら,ネットには何台の不正ホストが存在するのか 背景 Wittyワームは75分間で12,000台に感染した Nimdaワームは6時間で150,000台に感染した 「http://www2.nsknet.or.jp/~azuma/menu.htm」 ポートスキャンは平均18分に1回行われている [1] 菊池ら,ネットには何台の不正ホストが存在するのか
ポートスキャンと感染期間 期間1 期間2 無観測期間 Sensor ID 12/01/04 02/01/05 07/01/05 09/01/05 Time [day]
研究の目的 ウイルスやワームなどに感染した不正ホストの活動期間を推定する
研究の問題点 期間判別の困難さ 多量な観測データ ワームによる振る舞いの多様性 主観のあいまいさ 2004/10/24 2004/12/3 2004/12/14 2004/1/14 2004/2/14 2004/12/30 2005/3/2 2005/4/27 2005/8/18 2005/9/24
平均寿命の推定方法 期間判別の困難さ 多量な観測データ (1) サンプリング ○(人手) ×(部分的、誤差) (2) 固定閾値 ×(ホスト毎の違い) ○(すべてのデータ) (3) 適応閾値 ○(ホスト毎の違いを解決)
基本定義 ビジットk ラウンド1 ラウンド2 無観測期間t S1 S2 S3 感染期間d1(9日) 感染期間d2(7日) カウントc 2月2日 2月8日 S2 1月1日 1月9日 S3 感染期間d1(9日) 感染期間d2(7日) カウントc ラウンド数: r = 2 総カウント数(被スキャン数): c = 7 観測したセンサ数(ビジット): k = 3 期間における感染日数: d1 = 9、d2 = 7
(1) ランダムサンプリング 目的 方法 平均的な振る舞いのホストの特徴を調べる (1) ランダムサンプリング 目的 平均的な振る舞いのホストの特徴を調べる 方法 ビジット数k=6となる不正ホストの集合(K6)の中からランダムに100個の不正ホストを抽出 手動でデータを解析
kの推移とcの関係
(1) K6の解析結果(100個) ラウンド数r カウント数c ビジットk 期間d 1.49 8.72 4.36 24.6 0.81 [ラウンド /ホスト] カウント数c [パケット /ラウンド] ビジットk [センサ 期間d [日 平均 1.49 8.72 4.36 24.6 標準偏差 0.81 11.57 1.99 40.8
(2) 固定閾値による期間の 評価方法 同一の閾値Tによって、活動期間を区切る A T T T d1 t t d2 t
(2) 固定閾値についての感染期間 (K6:1,586) T*=30 μr=1.67 μd=18.6
(2) 固定閾値の問題点 同一のTを定めることの困難さ A B d1 d2 d2 d3 d1 d2 d3 d4 d5 d6 d7 T T T (2) 固定閾値の問題点 同一のTを定めることの困難さ A T d1 d2 d2 d3 B T T T d1 d2 d3 d4 d5 d6 d7
(3)ポアソン分布とは 単位時間中に平均で λ 回発生する事象がちょうど k 回 発生する確率を表す 例 さらにホストあたりの年間平均で 交差点を通過する車の台数 1日のメールの受信数 N:パケット数を取る確率変数 λ:平均パケット到着率 さらにホストあたりの年間平均で c:年間総カウント数 d0:年間の最初と最後のパケットの時間 を定義する
(3) スキャン到着間隔の分布 32% 1% 120 187
(3) 適応閾値の適応結果 T*はそれぞれの不正ホストによって異なる A B d1 d2 d3 d1 d2 d1 d3 d4 d2 d5 (3) 適応閾値の適応結果 T*はそれぞれの不正ホストによって異なる A TA* TA* d1 d2 d3 B TB* TB* TB* d1 d2 d1 d3 d4 d2 d5 d6 d3 d7 TB* TB* TB*
(3) 適応閾値で解決する問題 判別による困難さ ワームによる振る舞いの多様性 主観の不確定さ 多量な観測データ K6すべてのデータが対象
(3) 各不正ホストの振る舞いの違い 到着率λの分布
(3) 適応閾値による平均感染期間
(3) 適応閾値の平均ラウンド数
まとめ:固定閾値と適応閾値の違い ラウンドr カウントc ビジットk 感染期間d μr μc μk μd (1)サンプリング (人手) 1.49 8.72 4.36 24.6 (2)固定閾値 1.67 9.15 3.13 18.2 (3)適応閾値 1.57 9.75 4.32 32.3 (4)最小二乗法 43
結論 今後の課題 感染期間はユニークホストによって異なり、固定での算出はできない。 年間平均で32日間の寿命があり、平均で1.5回の感染をしている 今後の課題 K6以外の場合についても、ポアソン分布による仮定を試し、活動期間の推定をする
研究の新規性 ポアソン分布が当てはまると仮定し、それぞれの不正ホストについて適応した
分散観測 JPCERT/CC ISDAS 定点観測システム 定常的に不正アクセスを観察 センサ数12台 観測期間2004/9/1-2005/9/30(13ヶ月)
(1) k6のIPアドレスの分布
(1) K6でのポートの使用頻度 ポート1433 ポート4899 ポート137
(2)ポートによる平均観測期間の違い (K6:1,586) T*=30
(3)ポアソン分布 式(1)で定義したλが、1%の確率でパケットが到達しない事象が起きる確率は T*:連続してパケットが到達しない間隔
(3) スキャン数cの分布 20
(4) ポートによる違い 135 445 all w n S00 90 361,734 60 257,235 730,781 S01 60 59,240 52,986 110,728 S09 80 1,850 30 1,569 66,239
(4) ユニークホスト数の 最小二乗近似 [1] 菊池ら,一様分布による確率モデル
(4) フィッティングによる分散 観測期間86日 観測期間63日 観測期間43日 (4) フィッティングによる分散 Estimotied value of unique host addresses 観測期間86日 観測期間63日 観測期間43日 Duration for fitting [day]