2016年3月15日星期二 2016年3月15日星期二 2016年3月15日星期二 Data Mining: Concepts…
MWS2013 データセット ~ダークネットトラフィッ … › mws › 2012 ›...
Transcript of MWS2013 データセット ~ダークネットトラフィッ … › mws › 2012 ›...
1
独立行政法人 情報通信研究機構(NICT) ネットワークセキュリティ研究所 サイバーセキュリティ研究室
MWS2013 データセット
~ダークネットトラフィックデータ~
2
インシデント分析センタ 概要
目的:
• 広域ネットワークにおけるセキュリティインシデント(セキュリティ事故)の迅速な状況把握・原因究明・対策導出。
主要コンポーネント
• マクロ解析システム (ネットワークモニタリング)
• ミクロ解析システム (マルウェア解析)
• マクロ-ミクロ相関分析システム (マクロとミクロの融合)
nicter = Network Incident analysis Center
for Tactical Emergency Response
3
の全体像
相関分析
システム
相関分析
エンジン
分析者ワークベンチ
政府・官公庁
一般ユーザ
インターネット
サービスプロバイダ
インシデント
アラート発行
インシデント
ハンドリングシステム
現 象
原 因
!
!
!
マクロ解析システム
可視化エンジン 分析エンジン
Tiles
Cube
Atlas
ミクロ解析システム
マルウェア 静的解析 マルウェア 動的解析
ネットワーク
モニタリング
マルウェア
検体収集
ウイルス
ボット
ワーム
ハニーポット
Alert
------------
------------
------------
4
ダークネットとは
• 実ホストが存在しない未使用IPアドレス(ブロック)
• ダークネットに届くパケットは – マルウェア(リモートエクスプロイト型)によるスキャン
– マルウェア本体の感染行為(主にUDP)
– DDoS攻撃の跳ね返り(バックスキャッタ)
– 設定ミス
などが原因。
• インターネット上で広範囲に影響を 与える攻撃の把握に役立つ。
Darknet
MWS2013への提供データ
• ダークネットトラフィックデータ
– ある1組織(/16)のダークネット(/20)で観測されたトラフィックデータ
– 2011年4月1日~2013年3月31日の2年間分(予定)
– PCAP形式のファイルを(NONSTOP上で)提供
– 最新の観測データも準リアルタイムに提供予定
5
ライブネット
ダークネット
NONSTOP
• NONSTOP?
– Nicter Open Network Security Test-Out Platform
• 簡単に言うと、
– nicterで収集した研究用データ(マルウェア検体、ダークネットトラフィック等々)を外部研究者がリモートから扱うためのシステム
6
NONSTOP
7
利用には以下のようなものが必要になります • ICカード(NICTで発行) • ICカードリーダ(各自でご用意ください) • SSHクライアントソフト等のソフトウェア
できること
• NONSTOP内の仮想マシン内のVM利用 • VMからのデータリソース(ダークネットトラフィック等)の利用
• クライアントPC-VM間でのファイル転送 • その他
できないこと
• データリソースのNONSTOP外への持ち出し (フィルタリング及びログ保存を行っています)
利用方法の詳細については、別途説明会等の開催を予定しています
以下、2011,2012年度観測トピックの一部
(今回のデータセットに含まれているかは未確認)
8
SONY DDoS攻撃時の観測状況
9
April 3, 2011
Sony Online Entertainment
@San Diego April 5, 2011
Sony Computer Entertainment
@Texas
April 5, 2011
Sony Computer Entertainment Europe
@London
3389/TCPへの通信増加(Morto)
10
0
200
400
600
800
1000
1200
1400
1600
1800
2000
0
5000
10000
15000
20000
25000
30000
35000nicterで増加傾向を観測 Microsoft,F−Secure注意喚起
JPCERT/CC注意喚起
SecurityUpdate
3389/TCPへの通信増加(Morto)
11
0
5
10
15
20
25
30
0
100
200
300
400
500
600
700
800増加の観測
2012年度
トピック
・23/TCP idora? ルータにIRCボットが感染
・23・210/TCP Hikvision Digital Technology Co.,Ltd
・BitTorrentのポイゾニング?パケットの増加
ー 2012年7月から日本国内から急増(詐称?)
・0/TCPへのパケット
・53/UDP 毎週金曜日に増加するホスト
・1点集中UDPパケット
ー 400万パケット/day(10320・10321/UDP)
・JPからのバックスキャッタ
ダークネットトラフィックデータを用いた
研究発表をよろしくお願いします!!
13