1

独立行政法人 情報通信研究機構（NICT） ネットワークセキュリティ研究所 サイバーセキュリティ研究室

MWS2013 データセット

～ダークネットトラフィックデータ～

2

インシデント分析センタ 概要

目的:

• 広域ネットワークにおけるセキュリティインシデント（セキュリティ事故）の迅速な状況把握・原因究明・対策導出。

主要コンポーネント

• マクロ解析システム （ネットワークモニタリング）

• ミクロ解析システム （マルウェア解析）

• マクロ-ミクロ相関分析システム （マクロとミクロの融合）

nicter = Network Incident analysis Center

for Tactical Emergency Response

3

の全体像

相関分析

システム

相関分析

エンジン

分析者ワークベンチ

政府・官公庁

一般ユーザ

インターネット

サービスプロバイダ

インシデント

アラート発行

インシデント

ハンドリングシステム

現 象

原 因

!

!

!

マクロ解析システム

可視化エンジン 分析エンジン

Tiles

Cube

Atlas

ミクロ解析システム

マルウェア 静的解析 マルウェア 動的解析

ネットワーク

モニタリング

マルウェア

検体収集

ウイルス

ボット

ワーム

ハニーポット

Alert

------------

------------

------------

4

ダークネットとは

• 実ホストが存在しない未使用IPアドレス（ブロック）

• ダークネットに届くパケットは – マルウェア（リモートエクスプロイト型）によるスキャン

– マルウェア本体の感染行為（主にUDP）

– DDoS攻撃の跳ね返り（バックスキャッタ）

– 設定ミス

などが原因。

• インターネット上で広範囲に影響を 与える攻撃の把握に役立つ。

Darknet

MWS2013への提供データ

• ダークネットトラフィックデータ

– ある1組織（/16）のダークネット（/20）で観測されたトラフィックデータ

– 2011年4月1日～2013年3月31日の2年間分（予定）

– PCAP形式のファイルを（NONSTOP上で）提供

– 最新の観測データも準リアルタイムに提供予定

5

ライブネット

ダークネット

NONSTOP

• NONSTOP？

– Nicter Open Network Security Test-Out Platform

• 簡単に言うと、

– nicterで収集した研究用データ（マルウェア検体、ダークネットトラフィック等々）を外部研究者がリモートから扱うためのシステム

6

NONSTOP

7

利用には以下のようなものが必要になります • ICカード（NICTで発行） • ICカードリーダ（各自でご用意ください） • SSHクライアントソフト等のソフトウェア

できること

• NONSTOP内の仮想マシン内のVM利用 • VMからのデータリソース（ダークネットトラフィック等）の利用

• クライアントPC－VM間でのファイル転送 • その他

できないこと

• データリソースのNONSTOP外への持ち出し （フィルタリング及びログ保存を行っています）

利用方法の詳細については、別途説明会等の開催を予定しています

以下、2011,2012年度観測トピックの一部

（今回のデータセットに含まれているかは未確認）

8

SONY DDoS攻撃時の観測状況

9

April 3, 2011

Sony Online Entertainment

@San Diego April 5, 2011

Sony Computer Entertainment

@Texas

April 5, 2011

Sony Computer Entertainment Europe

@London

3389/TCPへの通信増加（Morto）

10

0

200

400

600

800

1000

1200

1400

1600

1800

2000

0

5000

10000

15000

20000

25000

30000

35000nicterで増加傾向を観測 Microsoft,F−Secure注意喚起

JPCERT/CC注意喚起

SecurityUpdate

3389/TCPへの通信増加（Morto）

11

0

5

10

15

20

25

30

0

100

200

300

400

500

600

700

800増加の観測

2012年度

トピック

・23/TCP idora？ ルータにIRCボットが感染

・23・210/TCP Hikvision Digital Technology Co.,Ltd

・BitTorrentのポイゾニング？パケットの増加

ー 2012年7月から日本国内から急増(詐称？)

・0/TCPへのパケット

・53/UDP 毎週金曜日に増加するホスト

・1点集中UDPパケット

ー 400万パケット/day(10320・10321/UDP)

・JPからのバックスキャッタ

ダークネットトラフィックデータを用いた

研究発表をよろしくお願いします！！

13