分散ハニーポット観測からのダウンロードサーバ間の相関ルール抽出

Slides:



Advertisements
Similar presentations
分散分析と誤差の制御 実験結果からできるだけ多くの情報を取り出すために 分散分析を利用する 主効果の大きさ 交互作用の大きさ 誤差の大きさ 採用した因子の効果の有無 の検定には,誤差の大きさ と比較するので誤差を小さ くできれば分散分析での検 出力が高まる どのようにしたら誤差を小さくできるか?
Advertisements

基本編: はじめての UNIX UNIX の基本的なコマンドを使ってみよう . 応用編:地震波形を使って震源を決めてみよ う 1.波形データをインターネットから取得しよう 2.地震波形を読もう 3.震源を決めてみよう 地球惑星物理学実験 II.
言語情報を利用したテキストマイニ ング 奈良先端科学技術大学院大学 情報科学研究科 工藤 拓 山本 薫 坪井 裕太 松本 裕治.
授業展開#12 コンピュータの扱いにくい問 題. 扱いにくい問題  処理時間がかかる。  メモリを大量に必要とする。  プログラムの優劣、アルゴリズムの優劣 を比較するためには、標準的なコン ピュータで比較する必要がある。  処理時間を計るのに、コンピュータのモ デルとして、チューリングマシンを考え、
HBSP モデル上での 行列積を求めるアルゴリ ム 情報論理工学 吉岡健太.
パスシーケンスに基づく Drive-by- Download 攻撃の分類 東海大学 桑原和也 菊池浩明 中央大学 安藤槙悟 趙晋輝 日立製作所 藤原将志 寺田真敏.
大規模コーパスから獲得した 名詞の出現パターンを用いた 事態名詞の項構造解析
データの圧縮.
遺伝的アルゴリズムにおける ランドスケープによる問題のクラス分類
MPIを用いたグラフの並列計算 情報論理工学研究室 藤本 涼一.
第4章 ABC/ABMと原価情報 原価計算・原価低減の新技法 1.ABCとは何か 2.ABCの有効性 3.ABMとは何か 4.ABMの有効性.
統計解析 第3章 散布度.
平成14年2月8日 卒業研究報告 相関行列に基づく非計量多次元尺度法 に関する研究
点対応の外れ値除去の最適化によるカメラの動的校正手法の精度向上
  個人投資家向け株式分析   と予測システム A1グループ  劉 チュン.
CCC DATAset における マルウェアの変遷

秘匿積集合プロトコルの 推薦システムへの応用
ISDASインターネット分散観測: ワームの平均寿命はいくらか?
Zeusの動作解析 S08a1053 橋本 寛史.
モード付き並列機械における オンラインスケジューリング
テキストマイニング, データマイニングと 社会活動のトレース
NEC-早大技術交流会 OpenFlowスイッチによる広域通信の効率的集約法
インターネット メールサーバ DNSサーバ WWWサーバ ファイアウォール/プロキシサーバ クライアント.
大阪教育大学大学院教育学研究科 総合基礎科学専攻 中窪 仁
主成分分析と因子分析 による競馬の勝因の研究
PlanetLab における 効率的な近隣サーバ選択法
メソッド名とその周辺の識別子の 相関ルールに基づくメソッド名変更支援手法
イベントカレンダー[縦] 00 月 (日) 00 (日) 00 (日) 00 (日)
アスペクト指向プログラミングを用いたIDSオフロード
小標本検査データを元にした 疲労破損率のベイズ推定
MPIによる行列積計算 情報論理工学研究室 渡邉伊織 情報論理工学研究室 渡邉伊織です。
スピーキングタスクの繰り返しの効果 ―タスクの実施間隔の影響―
パケットキャプチャーから感染種類を判定する発見的手法について
セキュリティ(6) 05A2013 大川内 斉.
分散IDSの実行環境の分離 による安全性の向上
5 サンプル MAY 20XX 日 月 火 水 木 金 土 こどもの日 ママの   誕生日 結婚記念日.
WWW上の効率的な ハブ探索法の提案と実装
Internet広域分散協調サーチロボット の研究開発
通信機構合わせた最適化をおこなう並列化ンパイラ

R12 マルウェアの連携感染パターンの自動検出方式
GPGPUによる 飽和高価値 アイテム集合マイニング
A18 スパムサーバの調査 ~ボットを見抜けるか?~
DNSクエリーパターンを用いたOSの推定
テキストマイニング, データマイニングと 社会活動のトレース
不確実データベースからの 負の相関ルールの抽出
軽量な仮想マシンを用いたIoT機器の安全な監視
C11: 不正アクセスパケットの可視化 シャボン
レッツ倶楽部 通信 わずか2週間続いただけで筋力と筋肉量は大幅に低下する!! 月 火 水 木 金 土 LET’S倶楽部 牛久市役所前
マルウェアの通信履歴と 定点観測の相関について
不完全な定点観測から 真の不正ホストの分布が分かるか?
ウィルスって どの位感染しているのかな? 菊池研究室  小堀智弘.
1~15までの数字の中から、 1個の数字を選び、覚えて下さい。
後藤滋樹研究室の紹介 現在のインターネットの課題 敵を知り、己を知れば、百戦危うからず(孫子) 1
ICMPを用いた侵入検知システムの負荷軽減
第4章 識別部の設計 4-5 識別部の最適化 発表日:2003年5月16日 発表者:時田 陽一
ボットネットはいくつあるか?ダウンロードログからの線形独立な基底数
秘匿リストマッチングプロトコルとその応用
自動音声(IVR) の設定方法 Ver.6.3 自動音声(IVR)の設定方法を記載しています。
データマイニングアルゴリズム「アプリオリ」と「ID3」の比較
◎小堀 智弘,菊池 浩明(東海大学大学院) 寺田 真敏(日立製作所)
クラスタリングを用いた ベイズ学習モデルを動的に更新する ソフトウェア障害検知手法
分散ハニーポット観測からのダウンロードサーバ間の相関ルール抽出
ウィルスの感染先探索活動を可視化するツール“PacketViewer”の開発
ボットネットの国別マルウェア活動時間 なぜインドからの攻撃は日本時間で行われるか?
2019年 7月 月 火 水 木 金 土 日  – 18 荒 10 – 18 富澤13 – 23 稲毛 14 – 23 後藤 10 – 18 濱野.
MPIを用いた 並列処理 情報論理工学研究室 06‐1‐037‐0246 杉所 拓也.
市松模様を使用した カメラキャリブレーション
Presentation transcript:

分散ハニーポット観測からのダウンロードサーバ間の相関ルール抽出 東海大学 ◎大類 将之 菊池 浩明  日立製作所 寺田真敏

マルウェアの移り変わり 第1期 第2期 スキャン 侵入 MW A MW B BO BO PS TR WO MW C MW D 潜伏 感染 BO  PS TR   WO MW C MW D 潜伏 感染 感染

ボットネット MW 第3期 BO DL2 PS DL1 連携活動 DL3 攻撃者

ボットネット 連携活動の発見 複数のMW間の相関を発見する必要性 ボットネットの同定やトレースへの活用 ボットネットA:PE+TROJ+WORM ボットネットB:BKDR+TSPY+WORM ボットネットの同定やトレースへの活用 連携活動の発見

連携を発見する事の困難さ 連携パターン 2 = 64通り 1週間分 7日 検査回数 448回 ← 約4億通り ← 約2千回 ← 約8千兆回 曜日 PE1 PE2 TROJ1 TORJ2 WORM1 WORM2 月 3 2 1 火 水 木 5 金 4 土 日 連携パターン 2 = 64通り 1週間分 7日 検査回数   448回 6 ← 約4億通り 単純な組み合わせなのでこの数だが、半数以下と見積もっても かなりの膨大な組み合わせを調べなければいけない ← 約2千回 ← 約8千兆回 5

アソシエーション分析 X(前件部) ⇒ Y (結論部) という相関ルールを抽出するデータマイニング手法 支持度(Support)と確信度(Confidence)に最小値を設定する事で,膨大な組み合わせから,効率よくルールを抽出できる. 支持度 = ルールの出現率 確信度 = ルールの関連性の強さ Xという前提条件部が来るならば、Yという結論部も来る コンビニで例えると、ビールを購入する人は、新聞も購入するといったルールを発見できる

相関ルールの抽出例 X(PE1) → Y(TROJ1, WORM1) 支持度 = X∩Y/N = 4/7日 60 % 確信度 =X∩Y/X = 4/5日 80 % 曜日 PE1 PE2 TROJ1 TORJ2 WORM1 WORM2 月 3 2 1 火 水 木 5 金 4 土 日 単純な組み合わせなのでこの数だが、半数以下と見積もっても かなりの膨大な組み合わせを調べなければいけない N = 7 X = 5 X∩Y = 4 7

相関ルールの抽出例 X(PE1, PE2) → Y(TROJ1, WORM1) 支持度 = X∩Y/N = 2/7日 30 % 確信度 =X∩Y/X = 2/3日 100 % 曜日 PE1 PE2 TROJ1 TORJ2 WORM1 WORM2 月 3 2 1 火 水 木 5 金 4 土 日 単純な組み合わせなのでこの数だが、半数以下と見積もっても かなりの膨大な組み合わせを調べなければいけない N = 7 X = 2 X∩Y = 2 8

Aprioriの原理 最小値を指定して枝狩りしていく 最小確信度 0.6 最小支持度 0.8 8千兆の ルール

実験目的 攻撃通信データと攻撃元データを使用し, 連携パターンを抽出 各データは約20分間隔で145個のタイムスロットに分割 20分間隔 攻撃通信データと攻撃元データを使用し, 連携パターンを抽出 各データは約20分間隔で145個のタイムスロットに分割 スロット MW名 MW1 MW2 MW3 1 感染なし 2 MW4 … 144 20分間隔

実験方法 攻撃通信データを手動で詳しく解析し,連携パターンを探す Aprioriで機械抽出し,手動解析と比較 ハニーポットや観測期間への応用 実験1 ハニーポットや観測期間への応用 実験2 実験3 実験4

実験方法 攻撃元データ 実験4 実験3 実験1,実験2 実験4 観測期間によるパターンの変化 実験3 ハニーポット間の連携パターン ハニーポットID(Honey001~096) 001 002 003 004 094 2008/05 2008/06 2008/07 2009/02 2009/03 13日 14日 2009/04 1年間(365日) 実験4 攻撃通信データ 09年3月13日と14日 Honey003(XP) 実験3 実験1,実験2 実験4 観測期間によるパターンの変化  実験3 ハニーポット間の連携パターン  実験2 DLサーバ間の連携パターン 実験1 MW間の連携パターン

17/58 手動解析の結果 PE_VIRUT.AV TROJ_BUZUS.AGB WORM_SWTYMLAI.CD 時刻 DLホストIPアドレス MW名 0:02:11 124.86.***.111 PE_VIRUT.AV 0:03:48 67.215.*.206 TROJ_BUZUS.AGB 72.10.***.195 WORM_SWTYMLAI.CD 17/58 PEをDLしたならば、TROJとWORMがDLされる

実験1 MWの相関ルール抽出 手動の連携パターンを自動抽出! 最小支持度10% 最小確信度80% 5 PE_ VIRUT.AV TROJ_ 最小支持度10% 最小確信度80% 手動の連携パターンを自動抽出! No. 前件部 結論部 支持 確信 5 PE_ VIRUT.AV TROJ_ BUZUS.AGB ⇒ WORM_ SWTYMLAI.CD 29.3 100 6 TROJ_ BUZUS.AGB No. 前件部 結論部 支持 確信 1 TROJ_BUZUS.AGB ⇒ WORM_SWTYMLAI.CD 41.4 100 2 46.6 88.9 3 BKDR_POEBOT.GN 10.3 4 5 PE_VIRUT.AV 29.3 6

実験2 DLサーバの相関ルール 最小支持度10% 最小確信度50% 複数のDLサーバを使用するMWでは正確な連携パターンが抽出できない 1 最小支持度10% 最小確信度50% 複数のDLサーバを使用するMWでは正確な連携パターンが抽出できない No. 前件部 結論部 支持 確信 対応MW 1 114.145.51.166 ⇒ 122.18.195.123 41.4 100 PE⇒PE 2 46.6 88.9 No. 前件部 結論部 支持 確信 対応MW 1 114.145.51.166 ⇒ 122.18.195.123 41.4 100 PE⇒PE 2 46.6 88.9 3 67.215.1.206 72.10.165.195 10.3 TROJ⇒WORM 4 72.10.166.195 WORM⇒TROJ なぜ50%なのか?80でも変わらない気がする 要調査

実験3 観測地点間の差 スロット数3以上 最小確信度80% 1 TROJ_ BUZUS.AGB ⇒ WORM_ SWTYMLAI.CD 36 スロット数3以上 最小確信度80% No. 前件部 結論部 Honey数 1 TROJ_ BUZUS.AGB ⇒ WORM_ SWTYMLAI.CD 36 2 TROJ_ BUZUS.AGB 6 WORM_ SWTYMLAI.CD PE_ VIRUT.AV 7 No. 前件部 結論部 Honey数 1 TROJ_BUZUS.AGB ⇒ WORM_SWTYMLAI.CD 36 2 3 BKDR_VANBOT.GN 12 4 5 TROJ_DLOADR.CBK UNKNOWN 8 6 PE_VIRUT.AV 7

1台のハニーポットでしか観測されていないルールが多い 実験3 観測地点間の差 1台のハニーポットでしか観測されていないルールが多い 複数のハニーポットで 観測されたルール

1台のハニーポットでしか観測されていないルールが多い 大規模なボットネットの可能性 実験3 観測地点間の差 1台のハニーポットでしか観測されていないルールが多い 複数のハニーポットで 観測されたルール

実験4 観測時期の差 スロット数3以上 最小確信度80% PE PE_ VIRUT.AV WORM_ SWTYMLAI.CD ⇒ TSPY_ スロット数3以上 最小確信度80% MW名 前件部 結論部 PE PE_ VIRUT.AV WORM_ SWTYMLAI.CD ⇒ TSPY_ KOLABC.CH TROJ TROJ_ BUZUS.AGB WORM

実験4 観測時期の差

連携活動期間は短い 実験4 観測時期の差

結論 各実験より, PE_VIRUT.AV, TROJ_BUZUS.AGB, WORM_SWTYMLAI.CD 間の強い相関 実験1 手動解析で発見した連携活動とほぼ同じ結 果を抽出できた 実験2 IPアドレスでは,複数のDLサーバを使用す    るMWに関する有効なルールが抽出できない 実験3 広範囲で観測されたルールは大規模なボッ     トネットである 実験4 連携活動期間は短い