ウィルスの感染先探索活動を可視化するツール“PacketViewer”の開発

Slides:



Advertisements
Similar presentations
第 7 章 ネットワークセキュリティ 大久保 恭太. 7.3 ネットワークスキャン 攻撃者はネットワークを攻撃するにあたって 、 攻撃対象のネットワークの 様々な情報を取得していく 。 ・ドメイン情報の取得 ・ホストに関する情報の取得 ・パスワードの奪取.
Advertisements

TCP/IP によるチャットプログラ ム 薄井 秀晃. 基礎知識編 TCP/IP とは? IP とは・・・ Internet Protocol の略称であり通信方法の技術的なルールで あり、実際にデータを送受信する前にデータを小さなデータ に分割し、それに発信元と受信先の IP アドレスを付加させて.
第1章 ネットワークとコミュニケーション 第2節 ネットワークのしくみ 2 ネットワークを支える技術 (教科書 p36 ~ p37) 今日の用語  モデム (modulator/demodulator:modem)  IP アドレス (internet protocol address)  ドメインネーム.
ご提案書 『ホテル インターネットサービスソリューション』
早稲田大学大学院 理工学研究科情報科学専攻 後藤研究室 修士 焦 江霞
MPIを用いたグラフの並列計算 情報論理工学研究室 藤本 涼一.
Step.5 パケットダンプ Wiresharkでパケットをキャプチャする PC 1 PC 2 PC 3 PC 4 ネットワーク
コンピュータプラクティス I 再現性 水野嘉明
第1回.
CCC DATAset における マルウェアの変遷
安全・安心なネット生活を送るためのネットワークセキュリティ
ISDASインターネット分散観測: ワームの平均寿命はいくらか?
Zeusの動作解析 S08a1053 橋本 寛史.
TCP (Transmission Control Protocol)
30分でわかるTCP/IPの基礎 ~インターネットの標準プロトコル~ 所属: 法政大学 情報科学研究科 馬研究室 氏名: 川島友美
OSが乗っ取られた場合にも機能するファイルアクセス制御システム
“All your layer are belong to us” 君達の「階層」は全て我々が戴いた
NEC-早大技術交流会 OpenFlowスイッチによる広域通信の効率的集約法
ファイル送信機能付きマルチキャストチャット
i-Pathルータのフロー情報を用いたDoS攻撃検知法
コンテンツ配信 エンコード (符号化) CBR (Constant Bit Rate) VBR (Variable Bit Rate)
モバイルP2Pを用いた携帯電話 動画配信手法の提案 第3回
大規模アドホックネットワークにおける 階層的な名前解決法
MPIによる行列積計算 情報論理工学研究室 渡邉伊織 情報論理工学研究室 渡邉伊織です。
コンピュータとネットワークの利用 国際経営学科 牧野ゼミ3年 足立龍哉.
Linux リテラシ 2006 第4回 ネットワーク CIS RAT.
DNSトラフィックに着目したボット検出手法の検討
特定ユーザーのみが利用可能な仮想プライベート・ネットワーク
パケットキャプチャーから感染種類を判定する発見的手法について
i-Pathルータのフロー情報を用いたDoS攻撃検知法
セキュリティ(6) 05A2013 大川内 斉.
分散IDSの実行環境の分離 による安全性の向上
2009年度卒業論文発表 CDNコンテンツサーバの動的負荷分散
セキュリティ 05A2013 大川内 斉.
Ibaraki Univ. Dept of Electrical & Electronic Eng.
Internet広域分散協調サーチロボット の研究開発
ネットワークの性能 牧野ゼミ3年 足立龍哉.
ネットワークプログラミング (5回目) 05A1302 円田 優輝.
全体ミーティング 6月6日 島本 大輔(M2) 2006年6月6日(火).
メールの仕組みとマナー.
複数のオーバレイネットワークを制御するためのプライベートなネットワーク環境
A18 スパムサーバの調査 ~ボットを見抜けるか?~
DNSクエリーパターンを用いたOSの推定
UDPマルチキャストチャット      空川幸司.
TCP制御フラグの解析による ネットワーク負荷の推測
ネットワークプログラミング 05A1302 円田 優輝.
片方向通信路を含む ネットワークアーキテクチャに於ける 動的な仮想リンク制御機構の設計と実装
C11: 不正アクセスパケットの可視化 シャボン
マルウェアの通信履歴と 定点観測の相関について
不完全な定点観測から 真の不正ホストの分布が分かるか?
ウィルスって どの位感染しているのかな? 菊池研究室  小堀智弘.
後藤滋樹研究室の紹介 現在のインターネットの課題 敵を知り、己を知れば、百戦危うからず(孫子) 1
ICMPを用いた侵入検知システムの負荷軽減
不正アクセスパケットの地図上での可視化 菊池研究室 畠山俊樹.
仮想環境を用いた 侵入検知システムの安全な構成法
ボットネットはいくつあるか?ダウンロードログからの線形独立な基底数
IDSとFirewallの連携によるネットワーク構築
LAN(TCP/IP) インターネットワーキング編
福岡工業大学 情報工学部 情報工学科 種田研究室 于 聡
トラフィックプロファイラAGURIの設計と実装
C9 石橋を叩いて渡るか? ~システムに対する信頼度評価~
ユビキタスコンピューティングの ための ハンドオーバー機能付きRMIの実装
◎小堀 智弘,菊池 浩明(東海大学大学院) 寺田 真敏(日立製作所)
異種セグメント端末による 分散型仮想LAN構築機構の設計と実装
特定ユーザーのみが利用可能な仮想プライベート・ネットワーク
MPIを用いた 並列処理 情報論理工学研究室 06‐1‐037‐0246 杉所 拓也.
牧野ゼミ 2年 産業情報 学科 韓 憲浩(カン ケンコウ)
IPアドレス 平成14年7月9日 峯 肇史 牧之内研究室「UNIX とネットワーク基礎勉強会」Webページ
ソケットの拡張によるJava用分散ミドルウエアの高信頼化
プロトコル番号 長野 英彦.
Presentation transcript:

ウィルスの感染先探索活動を可視化するツール“PacketViewer”の開発 菊池研究室 神宮 真人

コンピュータウィルスとは ウィルスはどのように感染を広げるのか? 1.3.1.105 1.3.1.80 1.3.1.107 1.3.1.106

研究の目的: ワームの特徴 ウィルスの特徴を明らかにする 探索するIPアドレスはウィルスの種類に依存して異なる 0.05秒間 0.02秒間 Bozori.aの送信パケット Sasser.aの送信パケット Time[s] 送信先IPアドレス 0.000000 1.7.1.104 0.004917 1.7.1.156 0.012032 1.7.0.2 0.024414 1.7.0.51 0.055658 1.7.0.155 Time[s] 送信先IPアドレス 0.000000 132.237.183.229 0.005009 1.4.230.217 0.011368 1.21.106.178 0.012254 91.151.37.94 0.017179 174.199.52.148 0.05秒間 0.02秒間 ローカル ランダム 研究の目的: ウィルスの特徴を明らかにする

問題点 インターネットの実観測データには多くのウィルスが混在している IPアドレスの表現では変化が分かりにくい 1.7.64.23 128.2.75.62 128.56.10.97 150.7.64.23 8.1.204.128 21.194.61.28 150.7.64.100 43.2.182.67 254.38.0.64 10.9.162.8 52.83.102.214

Pentium4 3.0GHz 1.0GB RAM Windows XP SP2 ウィルス感染プラットフォーム 実験PC Pentium4 3.0GHz 1.0GB RAM Windows XP SP2 仮想OSソフト VMware 感染OS Windows 2000 SP2 ウィルス数 50個 観測期間 60[s] ウィルスの 入手元 http://vx.netlux.org ベースのOS   仮想OS パケットをキャプチャー

Octetグラフの提案 Octetとは IPアドレス 150. 7. 64. 32 Octet 1 2 3 4 ローカルな攻撃の例 255 36 35 64 34 33 7 32 Octet1 Octet2 Octet3 Octet4

PacketViewerの機能 ワームの選択 送信頻度グラフの表示(タブ) 時間バー 表示 スピードの変更 Octetグラフの表示画面 表示  スピードの変更 Octetグラフの表示画面 ポート番号によって色分け IP・ポートの数値 ローカルアタックの判別

今から感染します

観測データの問題点 仮想ネットワーク環境のため,送信先が存在しない TCPプロトコルによってログに影響 TCPパケットの再送 再送を含んだログの頻度 再送を削ったログの頻度

IPアドレスから考察する標的 ・Type1(ローカル) 少数ネットワークの多数ホスト ・Type2(ランダムホスト) 多数ネットワークの少数ホスト

MSBlasterとBozori.eのパケット送信頻度 一定の割合でスキャン

実験結果 可視化ツールによって分かるウィルスの特徴 ウィルスが標的とする対象 使用する送信先ポート番号 ネットワークへ与える負担の大きさ 3タイプの比率(50個中) Type ローカル ランダムホスト ランダムネット 個数 33 13 4 比率(%) 66 26 8

結論 ウィルスの振る舞いの可視化を実現した 可視化ツールによって,ウィルスの標的,使用するポート番号,ネットワークへの負担の大きさを視覚的に捉える事が出来た

ご清聴ありがとうございました

本研究の応用 効果的な対処方法の提案 ネットワーク上のトラフィックと比較し,インターネット全体のワームの存在率を求める ?% ?% ?%

感染プラットフォームの欠点 環境に依存するウィルスの実験が不可能 仮想OSを感知するウィルスが存在する 例:SQL Slammerなど !!

ウィルス毎の送信パケット数/s Bozori packets/s Dasher DipNet Lebreat Lovesan Mytob Doomran Hiberium CodeGreen Dabber Dasher DipNet Doomjuice Kibuv Mofeir Lebreat Lovesan MSBlaster Muma Mytob Nanspy Nimda Padobot Sasser SdBoter Bozori Cycle

実験に用いたウィルス Bozori.a CodeGreen.a Lebreat.a Nanspy.a Bozori.b Dabber.a Lebreat.b Nanspy.b Bozori.c Dabber.c Lebreat.d Nanspy.c Bozori.e Dasher.b Lebreat.e Nanspy.d Bozori.f Dasher.c Lebreat.f Nimda.e Bozori.g DipNet.a Lovesan.a Padobot.aa Bozori.h DipNet.b Lovesan.f Sasser.a Bozori.i Doomjuice.a Lovesan.p Sasser.f Bozori.j Doomjuice.b MSBlaster Sasser.g Bozori.k Doomjuice.c Muma.a SdBoter.c Cycle.a Kibuv.a Mytob.a SdBoter.h Doomran Kibuv.f Mytob.b Hiberium.b Mofeir.b Mytob.d

亜種とは 一度出回ったウィルスの改造版 基本的な動きは同じ 送信されるメッセージの内容が違う 添付ファイルの名前が違う ウィルス名 パケット数 Mytob.a 9 Mytob.b Mytob.d 7597