R12 マルウェアの連携感染パターンの自動検出方式

Slides:



Advertisements
Similar presentations
第 7 章 ネットワークセキュリティ 大久保 恭太. 7.3 ネットワークスキャン 攻撃者はネットワークを攻撃するにあたって 、 攻撃対象のネットワークの 様々な情報を取得していく 。 ・ドメイン情報の取得 ・ホストに関する情報の取得 ・パスワードの奪取.
Advertisements

コンピュータウイル ス ~ウイルスの感染を防ぐには~. ( 1 )コンピュータウイルスとはどんなもの なのか、 どんな被害を及ぼすのかを知る。 ( 2 )コンピュータウイルスに感染しないた めの 方法を知る。 1 課 題 ウイルスの感染を防ぐに は.
ネットワーク社会の 情報倫理 第4章 コンピュータウィルス [近代科学社刊]. 4. 1 有害なプログラム コンピュータウィルス ワーム トロイの木馬 スパイウェア・アド ウェア デマウィルス マルウェア (mal-ware) → 有害なプログラムの総称 ( mal :悪意を持っ た) マルウェアの種類.
情報倫理と メディアリテラシー 第 1 章 ネットワーク社会と情報化社 会. ネットワーク社会 携帯電話 コンピュー タ テレビ 家電 カーナビ など ネットワーク 新たなコミュニケーションの場.
コンピュータウィルス.
コンピュータウィルスと脆弱性 メディアコミュニケーション論Ⅲ 7/18/08.
Android と iPhone (仮題) 情報社会とコンピュータ 第13回
CCC DATAset における マルウェアの変遷
受動的攻撃について Eiji James Yoshida penetration technique research site
ISDASインターネット分散観測: ワームの平均寿命はいくらか?
Zeusの動作解析 S08a1053 橋本 寛史.
第14回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
CGI Programming and Web Security
キャンパスクラウドによる 実験環境の構築 情報ネットワーク特論 講義資料.
「コンピュータと情報システム」 07章 インターネットとセキュリティ
Webサイト運営 09fi118 橋倉伶奈 09fi131 本間昂 09fi137 三上早紀.
Vulnerability of Cross-Site Scripting
[オンライン学習に登録] [情報ネットワークを安全に利用しよう]
コンピュータウィルスと脆弱性 情報社会と情報倫理 第13回.
インターネット社会を生きるための 情報倫理
第2章 第1節 情報通信の仕組み 4 暗号技術と情報の保護 5 コンピュータとネットワークの管理
インターネット社会の脅威 (インターネット社会のセキュリティ) 開始 再生時間:5分20秒.
第5章 情報セキュリティ(前半) [近代科学社刊]
セキュリティ・チェックリスト解説 【5~10分】
第13回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
MPIによる行列積計算 情報論理工学研究室 渡邉伊織 情報論理工学研究室 渡邉伊織です。
ウィルス 河野 裕哉.
プログラム実行履歴を用いたトランザクションファンクション抽出手法
ネットワークセキュリティ 肖 云上.
不正アクセス       ーrootkitについてー              環境情報学部              3年 櫻井美帆.
総合講義B:インターネット社会の安全性 第9回 セキュリティとコスト
九州大学キャンパスクラウド 利用法 情報ネットワーク特論 講義資料.
MPIによるwavからmp3圧縮の検証 情報論理工学研究室 04‐1‐47‐200 木村 惇一.
DNSトラフィックに着目したボット検出手法の検討
ウイルスについて I98N044 久野耕介 I98N114 藤田和久
パケットキャプチャーから感染種類を判定する発見的手法について
セキュリティ(6) 05A2013 大川内 斉.
分散IDSの実行環境の分離 による安全性の向上
ウイルス対策 ウイルスから他人と自分を守る 玉川医師会 (医)小倉病院 縄 嘉津記
サイバーセキュリティ バッファオーバフロー
セキュリティ 05A2013 大川内 斉.
Cisco Umbrella のご紹介 2018 年 1 月.
キャンパスクラウドによる 実験環境の構築 情報ネットワーク特論 講義資料.
スパイウェア あなたのパソコンは大丈夫ですか? 知らなきゃ危ねぇ!! 本当は怖~ぃ       チーム タートルズ48.
VIRUS.
Internet広域分散協調サーチロボット の研究開発
A18 スパムサーバの調査 ~ボットを見抜けるか?~
DNSクエリーパターンを用いたOSの推定
不確実データベースからの 負の相関ルールの抽出
軽量な仮想マシンを用いたIoT機器の安全な監視
C11: 不正アクセスパケットの可視化 シャボン
マルウェアの通信履歴と 定点観測の相関について
不完全な定点観測から 真の不正ホストの分布が分かるか?
ウィルスって どの位感染しているのかな? 菊池研究室  小堀智弘.
後藤滋樹研究室の紹介 現在のインターネットの課題 敵を知り、己を知れば、百戦危うからず(孫子) 1
ICMPを用いた侵入検知システムの負荷軽減
不正アクセスパケットの地図上での可視化 菊池研究室 畠山俊樹.
第一回 情報セキュリティ 05A1027 後藤航太.
ボットネットはいくつあるか?ダウンロードログからの線形独立な基底数
IDSとFirewallの連携によるネットワーク構築
オブジェクトの協調動作を用いた オブジェクト指向プログラム実行履歴分割手法
クラスタリングを用いた ベイズ学習モデルを動的に更新する ソフトウェア障害検知手法
分散ハニーポット観測からのダウンロードサーバ間の相関ルール抽出
中等情報科教育Ⅱ 情報セキュリティの確保.
ボットネットの国別マルウェア活動時間 なぜインドからの攻撃は日本時間で行われるか?
データの改竄を防ぐ仕組み 2002/9/12 牧之内研究室「インターネット実習」Webページ
分散ハニーポット観測からのダウンロードサーバ間の相関ルール抽出
MPIを用いた 並列処理 情報論理工学研究室 06‐1‐037‐0246 杉所 拓也.
情報モラル06 情報 セキュリティ.
Presentation transcript:

R12 マルウェアの連携感染パターンの自動検出方式 菊池研究室 大類将之 桑原和也

研究背景 感染者は知らぬ間に 不正行為を行う「加害者」に! ボットと呼ばれるマルウェアによる感染が拡大 ボットは、数10~数100万台のボット感染PCを従えたボットネットと呼ばれるネットワークを形成し、攻撃者の命令に従い、不正活動を行う 分散サービス使用不能攻撃(DDoS攻撃) スパムメール 違法サイトの構築 成功報酬型広告収入の不正取得 感染者は知らぬ間に 不正行為を行う「加害者」に!

マルウェアの変遷 (1/2) 第1期「単一」 第2期「分散攻撃」 A B 侵入 PS BO WORM 潜伏 感染 C D 感染 WORM

マルウェアの変遷 (2/2) 第3期「ボットネット」 WORM DL2 PE 連携感染 DL1 TROJ 攻撃者 DL3 4

実験データ CCC DATAset 2009 感染PC ハニーポット ログや検体 ハニーポット(おとりサーバ)94台を使い マルウェアの通信を取得したデータ ハニーポットとは? マルウェアを調査・研究するため設置するコンピュータ 今回は,約20分間隔でリブートされている 攻撃 収集 WORM 感染PC ハニーポット ログや検体

CCC DATAset 2009 パケットキャプチャデータ ログデータ 2日間の通信を全てキャプチャーしたもの(2台分) 1年間のマルウェア感染時のログ(94台分)

パケットキャプチャデータ

2日間 (2009年3月13-14日) 300MB/日 パケットキャプチャデータ

ログデータ マルウェア検体の 取得時間 マルウェアのハッシュ値や マルウェア名 ハニーポットIDや IPアドレス

1年間 (2008年4月-2009年3月) 1,355種 2,500万回のログ ログデータ マルウェアのハッシュ値や マルウェア名

マルウェアの連携を発見できますか? Aaaaaa PE_VIRUT.XK-2 PE_VIRUT.XK-1 PE_VIRUT.XI-4 PE_VIRUT.XI-3 Aaaaaa PE_VIRUT.XI-2 PE_VIRUT.XI-1 PE_VIRUT.SA PE_VIRUT.PAU Aaaaaaaaa PE_VIRUT.NZY PE_VIRUT.NS-4 PE_VIRUT.NS-3 PE_VIRUT.NS-2 aaaaaaaaaaPE_VIRUT.NS-1 PE_VIRUT.LJ PE_VIRUT.JN PE_VIRUT.JMA PE_VIRUT.GEN-3 PE_VIRUT.GEN-2 PE_VIRUT.GEN-1 PE_VIRUT.GEN Aaaaaa PE_VIRUT.EH PE_VIRUT.EE PE_VIRUT.E-4 PE_VIRUT.DAM WORM_ZHELATI.AFC WORM_VB.FON WORM_VANBOT.VS WORM_VANBOT.TV WORM_VANBOT.TU WORM_VANBOT.TT WORM_VANBOT.TS WORM_VANBOT.TQ WORM_VANBOT.PJ WORM_VANBOT.NP WORM_VANBOT.LO WORM_VANBOT.FU WORM_VANBOT.DT WORM_VANBOT.AX WORM_VANBOT.AC WORM_STRAT.GEN-3 WORM_SPYBOT.ZX WORM_SPYBOT.WH WORM_SPYBOT.VD WORM_SWTYMLAI.CD Aaaaa PE_VIRUT.XP-3 PE_VIRUT.XP-2 PE_VIRUT.XP-1 PE_VIRUT.XP PE_VIRUT.XO-4 PE_VIRUT.XO-3 PE_VIRUT.XO-2 PE_VIRUT.XO-1 PE_VIRUT.XN-3 PE_VIRUT.XL-4 PE_VIRUT.XL-3 PE_VIRUT.XL-2 PE_VIRUT.XL-1 PE_VIRUT.XL PE_VIRUT.XK-4 PE_VIRUT.XK-3 Aaaa PE_VIRUT.XK-2 PE_VIRUT.XK-1 PE_VIRUT.XI-4 PE_VIRUT.XI-3 WORM_SPYBOT.VC WORM_SPYBOT.TK WORM_SPYBOT.SN WORM_SPYBOT.RX WORM_SPYBOT.RR WORM_SPYBOT.RP WORM_SPYBOT.RO WORM_SPYBOT.RHB WORM_SPYBOT.PC WORM_SPYBOT.OQ WORM_SPYBOT.OK WORM_SPYBOT.MMS WORM_SPYBOT.MCS WORM_SPYBOT.MCL WORM_SPYBOT.JAZ WORM_SPYBOT.BEA WORM_SPYBOT.BCG WORM_SPYBOT.BBS WORM_SPYBOT.AZO WORM_SPYBOT.AYSaaaaaaa WORM_SPYBOT.AYI WORM_SPYBOT.AXC WORM_SPYBOT.AWN WORM_SPYBOT.AWLaaaaaa WORM_SPYBOT.AVF WORM_SPYBOT.ATR WORM_SPYBOT.ATH WORM_SPYBOT.ASJ aaaaaaa WORM_SPYBOT.AOU WORM_SPYBOT.AOP WORM_SPYBOT.AOD WORM_SPYBOT.AKO WORM_SPYBOT.AKL WORM_SPYBOT.AEK WORM_SPYBOT.ADS WORM_SOHANAD.HX WORM_SMALL.MDZ WORM_SILLY.KO WORM_SDBOT.ZZN WORM_SDBOT.ZKM WORM_SDBOT.ZHB WORM_SDBOT.ZAW WORM_SDBOT.XE WORM_SDBOT.VX WORM_SDBOT.VN WORM_SDBOT.LM WORM_SDBOT.GB WORM_SDBOT.GAV WORM_SDBOT.GAD WORM_SDBOT.FNQ WORM_SDBOT.FNG WORM_SDBOT.FMY WORM_SDBOT.FMB WORM_SDBOT.FLY WORM_SDBOT.FKW WORM_SDBOT.FKT WORM_SDBOT.FIN WORM_SDBOT.FGK WORM_SDBOT.EYY WORM_SDBOT.ETB Aaa PE_VIRUX.J PE_VIRUX.F PE_VIRUX.D PE_VIRUX.C-1 PE_VIRUX.A-4 PE_VIRUX.A-3 PE_VIRUX.A-1 PE_VIRUT.YEPE_VIRUT.YD PE_VIRUT.YC PE_VIRUT.XZ PE_VIRUT.XY PE_VIRUT.XW PE_VIRUT.XV PE_VIRUT.XU PE_VIRUT.XS-4 PE_VIRUT.XQ-4 PE_VIRUT.XQ-3 PE_VIRUT.XQ-2 PE_VIRUT.XQ-1 PE_VIRUT.XQ PE_VIRUT.XP-4 TROJ_DLOADER.TUL TROJ_DLOADER.SIP TROJ_DLOADER.RGY TROJ_DLOADER.RFV TROJ_DLOADER.RAR TROJ_DLOADER.PER TROJ_DLOADER.LPR TROJ_DLOADER.FJK TROJ_DLOADER.ETK TROJ_DLOADER.DDY TROJ_DLOADER.AMT TROJ_DLOADE.DPF TROJ_DLOADE.DBE TROJ_DLOAD.OG TROJ_DLOAD.DD TROJ_DLDER.BE aaaaaaaa TROJ_DISABLER.AO TROJ_DIALER.NR TROJ_DIALER.HBB TROJ_DELF.OJD aaaaaaaaaaaaaa TROJ_DELF.MOZ TROJ_DELF.KDM TROJ_DELF.IO TROJ_DELF.GGT aaaaaaaaaaaaaaaaaaaaaaa PE_VIRUT.D-4 PE_VIRUT.D-3 PE_VIRUT.D-2 PE_VIRUT.D-1 PE_VIRUT.D PE_VIRUT.CEL PE_VIRUT.B PE_VIRUT.AT PE_VIRUT.ASA PE_VIRUT.AQ-4 PE_VIRUT.AQ-1 PE_VIRUT.AP PE_VIRUT.AE PE_VIRUT.ABY PE_VIRUT.A PE_VALLA.A PE_TRATS.E PE_TRATS.B PE_TRATS.A PE_VIRUT.AV TROJ_DELF.DWD TROJ_DELF.ACB TROJ_DCOMRPC.AW TROJ_DCOMRPC.AI TROJ_DCOMRPC.AA TROJ_CUTWAIL.MCS TROJ_CUTWAIL.DP TROJ_CUTWAIL.AT TROJ_CPEX.K TROJ_CPEX.F TROJ_CONHOOK.EI TROJ_CLICKER.IO TROJ_CLICK.MMZ TROJ_BUZUS.UA TROJ_BUZUS.SHB TROJ_BUZUS.PAR TROJ_BUZUS.GN TROJ_BUZUS.APR TROJ_BUZUS.AMI TROJ_BUZUS.AHI TROJ_BUZUS.AGT TROJ_BUZUS.AGQTROJ_BUZUS.ADZ PE_TENGA.A PE_SALITY.M PE_SALITY.JER PE_SALITY.EN-1 PE_SALITY.AS PE_SALITY.AL-1 PE_SALITY.AL PE_SALITY.AE PE_SALITY.AC-O PE_SALITY.AC PE_RESOURCER.A PE_PARITE.A PE_Generic PE_FUNLOVE.4099 PE_CORELINK.C-1 PE_BOBAX.AK PE_BOBAX.AI PE_BOBAX.AH PE_AGOBOT.AQM Cryp_PESpin TROJ_BUZUS.AGB

15億年 800,000,000,000,000 マルウェアの連携を発見できますか? 1335種C3種 =395,654,395の組み合わせ! 800,000,000,000,000 マルウェアの連携を発見できますか? Aaaaaa PE_VIRUT.XK-2 PE_VIRUT.XK-1 PE_VIRUT.XI-4 PE_VIRUT.XI-3 Aaaaaa PE_VIRUT.XI-2 PE_VIRUT.XI-1 PE_VIRUT.SA PE_VIRUT.PAU Aaaaaaaaa PE_VIRUT.NZY PE_VIRUT.NS-4 PE_VIRUT.NS-3 PE_VIRUT.NS-2 aaaaaaaaaaPE_VIRUT.NS-1 PE_VIRUT.LJ PE_VIRUT.JN PE_VIRUT.JMA PE_VIRUT.GEN-3 PE_VIRUT.GEN-2 PE_VIRUT.GEN-1 PE_VIRUT.GEN Aaaaaa PE_VIRUT.EH PE_VIRUT.EE PE_VIRUT.E-4 PE_VIRUT.DAM WORM_ZHELATI.AFC WORM_VB.FON WORM_VANBOT.VS WORM_VANBOT.TV WORM_VANBOT.TU WORM_VANBOT.TT WORM_VANBOT.TS WORM_VANBOT.TQ WORM_VANBOT.PJ WORM_VANBOT.NP WORM_VANBOT.LO WORM_VANBOT.FU WORM_VANBOT.DT WORM_VANBOT.AX WORM_VANBOT.AC WORM_STRAT.GEN-3 WORM_SPYBOT.ZX WORM_SPYBOT.WH WORM_SPYBOT.VD WORM_SWTYMLAI.CD Aaaaa PE_VIRUT.XP-3 PE_VIRUT.XP-2 PE_VIRUT.XP-1 PE_VIRUT.XP PE_VIRUT.XO-4 PE_VIRUT.XO-3 PE_VIRUT.XO-2 PE_VIRUT.XO-1 PE_VIRUT.XN-3 PE_VIRUT.XL-4 PE_VIRUT.XL-3 PE_VIRUT.XL-2 PE_VIRUT.XL-1 PE_VIRUT.XL PE_VIRUT.XK-4 PE_VIRUT.XK-3 Aaaa PE_VIRUT.XK-2 PE_VIRUT.XK-1 PE_VIRUT.XI-4 PE_VIRUT.XI-3 WORM_SPYBOT.VC WORM_SPYBOT.TK WORM_SPYBOT.SN WORM_SPYBOT.RX WORM_SPYBOT.RR WORM_SPYBOT.RP WORM_SPYBOT.RO WORM_SPYBOT.RHB WORM_SPYBOT.PC WORM_SPYBOT.OQ WORM_SPYBOT.OK WORM_SPYBOT.MMS WORM_SPYBOT.MCS WORM_SPYBOT.MCL WORM_SPYBOT.JAZ WORM_SPYBOT.BEA WORM_SPYBOT.BCG WORM_SPYBOT.BBS WORM_SPYBOT.AZO WORM_SPYBOT.AYSaaaaaaa WORM_SPYBOT.AYI WORM_SPYBOT.AXC WORM_SPYBOT.AWN WORM_SPYBOT.AWLaaaaaa WORM_SPYBOT.AVF WORM_SPYBOT.ATR WORM_SPYBOT.ATH WORM_SPYBOT.ASJ aaaaaaa WORM_SPYBOT.AOU WORM_SPYBOT.AOP WORM_SPYBOT.AOD WORM_SPYBOT.AKO WORM_SPYBOT.AKL WORM_SPYBOT.AEK WORM_SPYBOT.ADS WORM_SOHANAD.HX WORM_SMALL.MDZ WORM_SILLY.KO WORM_SDBOT.ZZN WORM_SDBOT.ZKM WORM_SDBOT.ZHB WORM_SDBOT.ZAW WORM_SDBOT.XE WORM_SDBOT.VX WORM_SDBOT.VN WORM_SDBOT.LM WORM_SDBOT.GB WORM_SDBOT.GAV WORM_SDBOT.GAD WORM_SDBOT.FNQ WORM_SDBOT.FNG WORM_SDBOT.FMY WORM_SDBOT.FMB WORM_SDBOT.FLY WORM_SDBOT.FKW WORM_SDBOT.FKT WORM_SDBOT.FIN WORM_SDBOT.FGK WORM_SDBOT.EYY WORM_SDBOT.ETB Aaa PE_VIRUX.J PE_VIRUX.F PE_VIRUX.D PE_VIRUX.C-1 PE_VIRUX.A-4 PE_VIRUX.A-3 PE_VIRUX.A-1 PE_VIRUT.YEPE_VIRUT.YD PE_VIRUT.YC PE_VIRUT.XZ PE_VIRUT.XY PE_VIRUT.XW PE_VIRUT.XV PE_VIRUT.XU PE_VIRUT.XS-4 PE_VIRUT.XQ-4 PE_VIRUT.XQ-3 PE_VIRUT.XQ-2 PE_VIRUT.XQ-1 PE_VIRUT.XQ PE_VIRUT.XP-4 TROJ_DLOADER.TUL TROJ_DLOADER.SIP TROJ_DLOADER.RGY TROJ_DLOADER.RFV TROJ_DLOADER.RAR TROJ_DLOADER.PER TROJ_DLOADER.LPR TROJ_DLOADER.FJK TROJ_DLOADER.ETK TROJ_DLOADER.DDY TROJ_DLOADER.AMT TROJ_DLOADE.DPF TROJ_DLOADE.DBE TROJ_DLOAD.OG TROJ_DLOAD.DD TROJ_DLDER.BE aaaaaaaa TROJ_DISABLER.AO TROJ_DIALER.NR TROJ_DIALER.HBB TROJ_DELF.OJD aaaaaaaaaaaaaa TROJ_DELF.MOZ TROJ_DELF.KDM TROJ_DELF.IO TROJ_DELF.GGT aaaaaaaaaaaaaaaaaaaaaaa PE_VIRUT.D-4 PE_VIRUT.D-3 PE_VIRUT.D-2 PE_VIRUT.D-1 PE_VIRUT.D PE_VIRUT.CEL PE_VIRUT.B PE_VIRUT.AT PE_VIRUT.ASA PE_VIRUT.AQ-4 PE_VIRUT.AQ-1 PE_VIRUT.AP PE_VIRUT.AE PE_VIRUT.ABY PE_VIRUT.A PE_VALLA.A PE_TRATS.E PE_TRATS.B PE_TRATS.A PE_VIRUT.AV 15億年 TROJ_DELF.DWD TROJ_DELF.ACB TROJ_DCOMRPC.AW TROJ_DCOMRPC.AI TROJ_DCOMRPC.AA TROJ_CUTWAIL.MCS TROJ_CUTWAIL.DP TROJ_CUTWAIL.AT TROJ_CPEX.K TROJ_CPEX.F TROJ_CONHOOK.EI TROJ_CLICKER.IO TROJ_CLICK.MMZ TROJ_BUZUS.UA TROJ_BUZUS.SHB TROJ_BUZUS.PAR TROJ_BUZUS.GN TROJ_BUZUS.APR TROJ_BUZUS.AMI TROJ_BUZUS.AHI TROJ_BUZUS.AGT TROJ_BUZUS.AGQTROJ_BUZUS.ADZ PE_TENGA.A PE_SALITY.M PE_SALITY.JER PE_SALITY.EN-1 PE_SALITY.AS PE_SALITY.AL-1 PE_SALITY.AL PE_SALITY.AE PE_SALITY.AC-O PE_SALITY.AC PE_RESOURCER.A PE_PARITE.A PE_Generic PE_FUNLOVE.4099 PE_CORELINK.C-1 PE_BOBAX.AK PE_BOBAX.AI PE_BOBAX.AH PE_AGOBOT.AQM Cryp_PESpin TROJ_BUZUS.AGB

我々が発見した連携感染パターン ログイン作業 マルウェア名 DL:PE DL:TORJ DL:WORM 命令サーバ ポートスキャン 時間 PE_VIRUT.AV DL:TORJ TROJ_BUZUS.AGB DL:WORM WORM_SWTYMLAI.CD 命令サーバ ポートスキャン NICK JOIN ログイン作業 t0 t1 t2 t3 t4 時間

連携感染パターン この発見の何がすごいのか? データ解析の効率化 マルウェア検出や対策への応用 複数のMW間の相関を発見する必要性 1つのマルウェア: × 複数のマルウェア: ◎ データ解析の効率化 マルウェア検出や対策への応用 連携感染パターン

アソシエーション分析 X(前件部) ⇒ Y (結論部) という相関ルールを抽出するデータマイニング手法 支持度(Support)と確信度(Confidence)に最小値を設定する事で,膨大な組み合わせから,効率よくルールを抽出できる. 支持度 = ルールの出現率 確信度 = ルールの関連性の強さ Xという前提条件部が来るならば、Yという結論部も来る コンビニで例えると、ビールを購入する人は、新聞も購入するといったルールを発見できる

相関ルールの抽出例 X(おにぎり) → Y(お茶, お菓子) 支持度 = |X∩Y| / |N| = 4/7日 60 % 曜日 おにぎり パン お茶 ジュース お菓子 雑誌 月 3 2 1 火 水 木 5 金 4 土 日 単純な組み合わせなのでこの数だが、半数以下と見積もっても かなりの膨大な組み合わせを調べなければいけない |N| = 7 |X| = 5 |X∩Y| = 4 16

8百兆の ルール Aprioriアルゴリズムの原理 抽出! 最小支持度 0.8 最小確信度 0.6 最小値を指定して枝刈りしていく おにぎり → お茶, お菓子 支持度 60 % 確信度 80 %

実験目的と方法 パケットキャプチャデータとログデータを使用し,連携感染パターンを抽出 Aprioriで機械抽出し,手動解析と比較 実験1 マルウェア間の相関ルール 実験2 ダウンロードサーバ間の相関ルール ハニーポットや1年間での差はないか? 実験3 ハニーポット間の差 実験4 観測期間の差

入力データ 各データは,約20分間隔で145個のスロットに分割 各スロットを1 つのトランザクションとし,その間にDL されたMW の種類をそのトランザクションに生じるアイテムとみなして入力データとする スロット MW名 MW1 MW2 MW3 1 感染なし 2 MW4 … 144 20分間隔

入力データ ログデータ 実験4 実験3 実験1,実験2 実験4 観測期間によるパターンの変化 実験3 ハニーポット間の連携パターン ハニーポットID(Honey001~094) 001 002 003 004 094 2008/05 2008/06 2008/07 2009/02 2009/03 13日 14日 2009/04 1年間(365日) パケットキャプチャデータ 09年3月13日と14日 Honey003 実験4 実験3 実験1,実験2 実験4 観測期間によるパターンの変化  実験3 ハニーポット間の連携パターン  実験2 DLサーバ間の連携パターン 実験1 MW間の連携パターン 20

17/58 手動解析の結果 ルール 「 」 PE_VIRUT.AV TROJ_BUZUS.AGB WORM_SWTYMLAI.CD ならば 時刻 DLホストIPアドレス MW名 0:02:11 124.86.***.111 PE_VIRUT.AV 0:03:48 67.215.*.206 TROJ_BUZUS.AGB 72.10.***.195 WORM_SWTYMLAI.CD ルール 17/58 「 ならば PEをDLしたならば、TROJとWORMがDLされる 」 21

実験1 MWの相関ルール抽出 手動の連携パターンを自動抽出! 支持度 29.3% = 17/58 最小支持度10% 最小確信度80% 5 最小支持度10% 最小確信度80% 手動の連携パターンを自動抽出! No. 前件部 結論部 支持 確信 5 PE_ VIRUT.AV TROJ_ BUZUS.AGB ⇒ WORM_ SWTYMLAI.CD 29.3 100 6 TROJ_ BUZUS.AGB No. 前件部 結論部 支持 確信 1 TROJ_BUZUS.AGB ⇒ WORM_SWTYMLAI.CD 41.4 100 2 46.6 88.9 3 BKDR_POEBOT.GN 10.3 4 5 PE_VIRUT.AV 29.3 6 支持度 29.3% = 17/58

実験4 1年間での差はないか? TROJではなくTSPYが上位に! スロット数3以上 最小確信度80% PE PE_ VIRUT.AV スロット数3以上 最小確信度80% MW名 前件部 結論部 PE PE_ VIRUT.AV WORM_ SWTYMLAI.CD ⇒ TSPY_ KOLABC.CH TROJ TROJ_ BUZUS.AGB WORM TROJではなくTSPYが上位に!

実験4 1年間での差はないか?

連携感染期間 26.3日 実験2 観測時期の差

結論 手動解析 連携感染パターンの発見 機械解析 実験1 手動解析と100%同様の結果を自動検出 実験4 連携感染期間は26.3日 手動 「PE→WO+TR」 17/58 機械 「PE+WO→TR」 & 「PE+TR→WO」 17/58 実験4 連携感染期間は26.3日 今後の課題 時系列を考慮したルールの抽出

入力データ 攻撃元データ 実験4 実験3 実験1,実験2 実験4 観測期間によるパターンの変化 実験3 ハニーポット間の連携パターン ハニーポットID(Honey001~096) 001 002 003 004 094 2008/05 2008/06 2008/07 2009/02 2009/03 13日 14日 2009/04 1年間(365日) 実験4 攻撃通信データ 09年3月13日と14日 Honey003(XP) 実験3 実験1,実験2 実験4 観測期間によるパターンの変化  実験3 ハニーポット間の連携パターン  実験2 DLサーバ間の連携パターン 実験1 MW間の連携パターン 28

実験2 DLサーバの相関ルール 最小支持度10% 最小確信度50% 複数のDLサーバを使用するMWでは正確な連携パターンが抽出できない 1 最小支持度10% 最小確信度50% 複数のDLサーバを使用するMWでは正確な連携パターンが抽出できない No. 前件部 結論部 支持 確信 対応MW 1 114.145.51.166 ⇒ 122.18.195.123 41.4 100 PE⇒PE 2 46.6 88.9 No. 前件部 結論部 支持 確信 対応MW 1 114.145.51.166 ⇒ 122.18.195.123 41.4 100 PE⇒PE 2 46.6 88.9 3 67.215.1.206 72.10.165.195 10.3 TROJ⇒WORM 4 72.10.166.195 WORM⇒TROJ なぜ50%なのか?80でも変わらない気がする 要調査 29

実験3 観測地点間の差 スロット数3以上 最小確信度80% 1 TROJ_ BUZUS.AGB ⇒ WORM_ SWTYMLAI.CD 36 スロット数3以上 最小確信度80% No. 前件部 結論部 Honey数 1 TROJ_ BUZUS.AGB ⇒ WORM_ SWTYMLAI.CD 36 2 TROJ_ BUZUS.AGB 6 WORM_ SWTYMLAI.CD PE_ VIRUT.AV 7 No. 前件部 結論部 Honey数 1 TROJ_BUZUS.AGB ⇒ WORM_SWTYMLAI.CD 36 2 3 BKDR_VANBOT.GN 12 4 5 TROJ_DLOADR.CBK UNKNOWN 8 6 PE_VIRUT.AV 7

1台のハニーポットでしか観測されていないルールが多い 実験3 観測地点間の差 1台のハニーポットでしか観測されていないルールが多い 複数のハニーポットで 観測されたルール

1台のハニーポットでしか観測されていないルールが多い 大規模なボットネットの可能性 実験3 観測地点間の差 1台のハニーポットでしか観測されていないルールが多い 複数のハニーポットで 観測されたルール

マルウェア 「悪意ある不正ソフトウェア」 コンピュータに被害を起こすように設計されたソフトウェアの総称

ハッシュ値 ハッシュ値とはあるデータを、ハッシュ関数(MD5やSHA1など)と呼ばれる関数で演算した結果のことで、データサイズに関わらず、128~512ビット程度の一定の長さの値になる ハッシュ値の例 MD5(128bit): c2fb43a8e999fe9d1c8d070dc4f02b32 SHA1(160bit):53732fab13cbe0081e891e1fe19b9510e50b2ad9 ハッシュ値の特徴 異なるデータから同じハッシュ値はほとんど得られない ハッシュ値とハッシュ関数が分かっていても、データは復元できない

PE型 ファイル感染型ウイルス Windowsの実行形式ファイル「PEファイル」(Portable Executive file)に感染する 他のプログラムに寄生するため、単独でプログラムを実行したり複製は行わない

WORM型 自己増殖型ウイルス ユーザに気付かれないようにコンピュータに侵入し、破壊活動や別のコンピュータへの侵入などを行なう インターネットの普及により、電子メールやWebサイトなどを経由して、自動的に自分自身のコピーを拡散し、爆発的な速度で増殖する 作成が比較的容易であるため、亜種が多い 他のプログラムに寄生するわけではなく、単独で活動する

TROJ型 トロイの木馬型ウイルス 有益なソフトウェアだと偽ってユーザに実行させ、コンピュータへ侵入し、データ消去やファイルの外部流出、他のコンピュータの攻撃などの破壊活動を行なう 他のウイルスをダウンロードし、感染させるものもある 他のプログラムに寄生するわけではなく、単独で活動し、自分自身での増殖活動も行わない

TSPY型(Trojan Spyware) トロイの木馬型ウイルスの一種で、パスワード窃盗型に分類される 主に情報漏洩に繋がる不正活動を行うもので、パスワードなど重要な情報を盗むことを目的とする 一般的にスパイウェアと呼ばれる場合がある

BKDR型 トロイの木馬型ウイルスの一種で、バックドア型に分類される 感染するとコンピュータを外部から操作できるような侵入口を用意する ユーザに気付かれずにコンピュータの遠隔操作を可能とし、別のコンピュータへの侵入など不正活動に利用される