ボットネットの国別マルウェア活動時間 なぜインドからの攻撃は日本時間で行われるか?

Slides:



Advertisements
Similar presentations
生物統計学・第 5 回 比べる準備をする 標準偏差、標準誤差、標準化 2013 年 11 月 7 日 生命環境科学域 応用生命科学 類 尾形 善之.
Advertisements

パスシーケンスに基づく Drive-by- Download 攻撃の分類 東海大学 桑原和也 菊池浩明 中央大学 安藤槙悟 趙晋輝 日立製作所 藤原将志 寺田真敏.
3次元nクイーン問題の 解に関する研究 論理工学研究室 伊藤精一
ファイルキャッシュを考慮したディスク監視のオフロード
コンピュータプラクティス I 再現性 水野嘉明
点対応の外れ値除去の最適化によるカメラの動的校正手法の精度向上
CCC DATAset における マルウェアの変遷
Ibaraki Univ. Dept of Electrical & Electronic Eng.
東京23区の気温分布と リモートセンシングを用いた 緑被面積率の関係
ISDASインターネット分散観測: ワームの平均寿命はいくらか?
Zeusの動作解析 S08a1053 橋本 寛史.
☆これまでと、これからと☆ パソコンで携帯サイトをみる方法 誰でも利用できる環境の構築 Wiiリモコンを使った構内案内 ーー今回の発表ーー
時差計算1.
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
A班 ランダム選択に一言加えたら・・・ 成田幸弘 橋本剛 嶌村都.
NEC-早大技術交流会 OpenFlowスイッチによる広域通信の効率的集約法
大学での講義中の スマートフォンの私的使用 ―その頻度と内容-
ブラウザに表示されるURL と パケットのIP アドレスを比較するツール
徳島大学工学部知能情報工学科 A1 グループ 学部4年 森陽司
因果関係3原則 2009年月曜日・3時限 社会理論と調査法.
インターネット メールサーバ DNSサーバ WWWサーバ ファイアウォール/プロキシサーバ クライアント.
演習問題 下記のネットワークで接続可能な端末の数をあげよ。 /28, /20
秘匿積集合プロトコルを利用した プライバシ協調フィルタリングの提案
OSのシグネチャを用いた 悪意のある通信の検出法
統計学の授業でのセカンド モニタとしてのiPhoneの使用
PlanetLab における 効率的な近隣サーバ選択法
五所川原第一中学校 福士恭介 鈴木景 葛西脩平
B4向け研究紹介 MTAにおけるspamメール判別方法
IPv6アドレスによる RFIDシステム利用方式
大規模アドホックネットワークにおける 階層的な名前解決法
サーバ負荷分散におけるOpenFlowを用いた省電力法
繰り返しのない二元配置の例 ヤギに与えると成長がよくなる4種類の薬(A~D,対照区)とふだんの餌の組み合わせ
MPIによる行列積計算 情報論理工学研究室 渡邉伊織 情報論理工学研究室 渡邉伊織です。
Ibaraki Univ. Dept of Electrical & Electronic Eng.
第2章 ネットサービスとその仕組み(後編) [近代科学社刊]
7. セキュリティネットワーク (ファイアウォール)
パケットキャプチャーから感染種類を判定する発見的手法について
第9章 Error and Control Messages (ICMP)
セキュリティ(6) 05A2013 大川内 斉.
セキュリティ 05A2013 大川内 斉.
UDPマルチキャストチャット    空川幸司.
Shimatterシステムの トップダウン分析
R12 マルウェアの連携感染パターンの自動検出方式
非対称リンクにおける ジャンボフレームの性能評価
未使用メモリに着目した 複数ホストにまたがる 仮想マシンの高速化
A18 スパムサーバの調査 ~ボットを見抜けるか?~
DNSクエリーパターンを用いたOSの推定
C11: 不正アクセスパケットの可視化 シャボン
マルウェアの通信履歴と 定点観測の相関について
不完全な定点観測から 真の不正ホストの分布が分かるか?
ウィルスって どの位感染しているのかな? 菊池研究室  小堀智弘.
後藤滋樹研究室の紹介 現在のインターネットの課題 敵を知り、己を知れば、百戦危うからず(孫子) 1
ICMPを用いた侵入検知システムの負荷軽減
不正アクセスパケットの地図上での可視化 菊池研究室 畠山俊樹.
ボットネットはいくつあるか?ダウンロードログからの線形独立な基底数
IDSとFirewallの連携によるネットワーク構築
秘匿リストマッチングプロトコルとその応用
C9 石橋を叩いて渡るか? ~システムに対する信頼度評価~
卒業研究 JCSPを用いたプログラム開発  池部理奈.
◎小堀 智弘,菊池 浩明(東海大学大学院) 寺田 真敏(日立製作所)
分散ハニーポット観測からのダウンロードサーバ間の相関ルール抽出
ウィルスの感染先探索活動を可視化するツール“PacketViewer”の開発
わかりやすいパターン認識 第6章 特徴空間の変換 6.5 KL展開の適用法 〔1〕 KL展開と線形判別法 〔2〕 KL展開と学習パターン数
統計現象 高嶋 隆一 6/26/2019.
分散ハニーポット観測からのダウンロードサーバ間の相関ルール抽出
MAUI Project 2009 インターネットにおける近接性
ベイジアンネットワークと クラスタリング手法を用いたWeb障害検知システムの開発
TCP/IPの通信手順 (tcpdump)
卒論発表 榊原玲 
Presentation transcript:

ボットネットの国別マルウェア活動時間 なぜインドからの攻撃は日本時間で行われるか? 東海大学 松尾峻治 菊池浩明 日立製作所 寺田真敏 藤原将志

ボットネットの問題 一般PC 不正者 C&Cサーバ マルウェア ダウンロードサーバ 不正者はC&Cサーバ,マルウェアダウンロードサーバを経由して一般PCにマルウェアを配布,感染させる. そのため基本観測できるのは感染したPCとマルウェアダウンロードサーバであり,不正者までたどりつくことができない. しかし,不正者も一般PCと同様人であり,PCを常に動かしているわけではなく,活動している時としていないときがあります. そこで,ひとつの仮説として

研究背景 人とマルウェアの活動には深い関連があるのではないか? 昼14:00 夜23:30 朝7:00 人 PC MW

ボットネットの活動時間について

活動時間

L群-日本とは活動時間が違う国

L群-時差を考慮した場合

J群-日本と活動時間が同じ しかし,L群には属さないもう一つのJ群というのがありました. これらは時差を考慮しない状態でも日本と活動時間が一緒というものでした. J群のアメリカ,カナダは10万以上のマルウェアがダウンロードされています. しかし,ユニークIP数ではアメリカが1000以上なのに対し,カナダでは256と少なく ばらつきがありました.他にもセルビアはユニークIP数が7に対し,ダウンロード数が4948回と少ないIPでたくさんダウンロードされているのに対し インドはユニークIP数が1000件以上に対し,ダウンロード回数が4806回とダウンロード数とユニークIP数との関係がばらばらであるにもかかわらず 活動時間でみると日本とほぼ一緒だということがわかりました.

日本との相関について 日本のマルウェア活動時間を基とするとき,各国iとどのくらい違うのか明確にするため相関係数を用いた. 国iの時刻tの時のダウンロード数をdi(t)とするとき,国iの日本との相関係数Si,jは次のように求める.pは時間のずれ、位相を示す

相関係数と位相の関係-L群について ブラジル 最適値(p*=11時間) ブラジル 時差 (p’=12時間)

ダウンロード活動の最適な位相 国の時差を位相p’とおく. 相関係数Si,jが最大なるときの位相をp*とおく. 国名 日本との時差p' Si,j(t) Si,j(t-p*) J群 カナダ 15 0.993 アメリカ 16 0.816 ウクライナ 7 0.959 セルビア 8 20 12 0.45 0.789 インド 3 22 5 0.785 0.809 L群 ブラジル 11 1 -0.429 0.847 イタリア 6 2 -0.073 0.765 ニュージーランド -3 19 0.058 0.881 ポーランド 0.008 0.831 ルーマニア 0.219 0.773 国の時差を位相p’とおく. 相関係数Si,jが最大なるときの位相をp*とおく.

時差と位相の差はなぜか? 仮説1)攻撃ホストAに依存している. 仮説2)ダウンロードサーバBに依存している. PM22:00 AM04:00

攻撃パターン パターン 攻撃ホスト ハニーポットC DLサーバ 活動時間 1 * 日本 日本時間 2a J群 2b 2c L群 3a 現地時間 3b 3c ハニーポットは今回使用しているデータは日本のため,すべて日本となります. それに対し攻撃ホスト,ダウンロードサーバでは日本,L群,J群と3つパターンがあり,これらの組み合わせは全部で7種類となりました. 先ほどの例では2aとなり,日本,日本,J群というパターンです. 今回DLサーバのJ群は日本時間,L群は現地時間という活動時間となっています. パターンの差がみるため,攻撃ホストに注目することになりました. もし,仮説1の攻撃ホストに依存している場合,2aと3Cが正しいことになり,もし仮説2が正しい場合2c,3bなどが正しくなるはずです.

実験 2010年3月5日から11日のCCCDateset2010の攻撃通信データを使用した. 実験1)通信の失敗  L,J の両群についてsyn-ack の通信が失敗している割合を調べる. 実験2)攻撃ホスト常時オンライン数  2010 年9 月1 日~4 日かけて,各攻撃ホストに毎時ping(ICMP Echo パケット)を行い,オンラインの攻撃ホストの割合を調べる. 実験3)攻撃ホストAとダウンロードサーバBの国分布  攻撃ホストAとダウンロードサーバBの各国の割合を調べる. 2が原因ならダウンロードサーバの中には時刻に応じて停止したりするサーバあるはずです. 先程までのCCCデータセット この攻撃ホストを観測するために次のような実験を行いました. まず,攻撃ホストのIPが偽っていないかを確かめるために,攻撃ホストの通信が失敗している数を調査しました. 次に,攻撃ホストに活動時間が存在しているかを確かめてるため,攻撃ホストに対しpingを飛ばし,オンラインになっているかを調べました. 最後に攻撃ホストとダウンロードサーバの国の関係を調べるため,国の割合を調べました.

CCCDataset2010 攻撃元データ 攻撃通信データ マルウェアをダウンロードした時のログデータ おもに日時,攻撃IP,マルウェアの情報がある. 攻撃通信データ 設置したハニーポットの実際に攻撃を受け感染し,感染活動するまでの動作をパケットキャプチャしたもの.

実験1 syn-ackの通信が失敗している割合 攻撃ホスト1164件中syn-ackに失敗している IPアドレスはは39件あった. 失敗しているIPアドレスのほとんどが 一般ホストのFQDN

実験2 J群-アメリカの常時オンライン数

実験2 L群-イタリアの常時オンライン数

実験3 攻撃通信データの国の割合 J群 L群 Aのほうが日本の割合が多く,J群への日本時間に依存して観測されている大きな要因と考えられる. 加えて,J群の中にはUSのように常時接続が高い国がある.こういう国では仮説2のような停止していることが原因で活動時間が生じることはないと考えられると思います. J群の理由は攻撃パターン2a,攻撃ホスト日本ということが原因だと結論付けました. J群 L群

考察 アメリカや日本の攻撃ホストは24時間動いていることから,日本の攻撃ホストがダウンロードを引き起こしている. イタリアやブラジルは現地時間で活動しており,攻撃の起点となっている. 以上より, 仮説1:攻撃ホストに依存している.

まとめ マルウェアと一般ユーザの活動時間深い関わりがあり,攻撃ホストの属するタイムゾーンに依存している. 攻撃ホストが多いほど,現地時刻に近くなるので,各国活動時間との相関を取るころにより,不正ホストの中で攻撃ホストの割合が多いか判定できる可能性がある.

syn-ackの失敗について ハニーポット C 攻撃ホスト A synパケット ackパケット syn-ackパケット

攻撃通信データのユニークIP数順位

ダウンロードサーバオンライン数

相関係数と位相の関係-J群について

活動時間について 日本とほぼ同じ時間で活動しているJ(Japan Time) 群と,現地時間で活動していると思われるL(Local Time) 群の二つに分けられた. 通常,各国の時差があるため,活動時間は異なっているはず.

時差について 観測時刻から位相pずれる場合di(t-p)と置く. 位相pずれている場合の相関係数Si,j(p)を次にのように置く.

ご静聴ありがとうございました.