Embed Size (px)
Citation preview
通信源ホストの分類を利用したダークネット通信解析 早稲田大学 基幹理工学部 笹生 憲, 森 達哉, 後藤 滋樹 2013年10月23日 MWS2013
1 10/28/13 MWS 2013
目次
• 研究の背景 • 研究の目的 • データセット • 提案する分析手法 • ケーススタディ • まとめ
10/28/13 MWS 2013 2
研究の背景
• ダークネットとは、未使用かつ到達可能なIPアドレス空間を観測するシステム
• ダークネットで得られる情報は限定されている • 脅威の予兆となるパケットが大量のパケットにうもれてしまっている
3 10/28/13 MWS 2013
ダークネット
通常のIPアドレス空間
片方向
双方向
研究の目的
• ダークネットの通信データから、より多くの情報を獲得する手法を提案する
4 10/28/13 MWS 2013
ダークネットの通信データ
時間
パケット数
従来の手法
時間
ダークネットの通信データ
パケット数
提案する手法の一例
データセット
• nicter darknet 2013 • 情報通信研究機構により提供されたデータ • NONSTOP上で分析を行った
• 4096個のIPアドレス • 2011年1月1日から2012年12月31日までの2年間のデータ
• データ概要 • 総パケット数 ・・・ 113,010,088 • 総ホスト数 ・・・ 7,564,109
5 10/28/13 MWS 2013
1. 通信源ホストが、どのような通信パターンをとったかで分類する
2. 通信源ホストのOSにより分類する
分析手法
6 10/28/13 MWS 2013
通信源ホスト 1
2
1. 通信パターンによる分類
• 通信パターン • Single-shot :
ダークネットで、一つしかパケットを観測されなかったホスト
• Full scanner : ダークネットのIP空間すべてに対してパケットを送信したホスト
7
Single-shot Full scanner
10/28/13 MWS 2013
通信パターンによる分析
8
• Single-Shot • パケット数は全体の3% • ホスト数は全体の42%
• Full Scanner • パケット数は全体の55% • ホスト数は全体の0.1%
10/28/13 MWS 2013
通信パターンの変化
9
2500
5000
7500
2011Jan
2011Feb
2011Mar
2011Apr
2011May
2011Jun
2011Jul
2011Aug
2011Sep
2011Oct
2011Nov
2011Dec
Time
Num
ber o
f uni
que
host
s
10/28/13 MWS 2013
Single-shotの通信データ
通常時
大規模ワーム発生後
morto発生
2. ホスト種別による分類
• OSフィンガープリンティングの利用 • TCP/IPスタックの実装がOS毎に異なる事を利用して、TCPパケットの
ヘッダ情報から通信源のOSを推定する技術である • p0fというツールを利用して、通信源ホストのOSにより分類をおこなった
10
Windows XP
Linux 2.4
Mac OS X OSフィンガー プリンティング の利用
通信源ホスト 通信源ホスト
10/28/13 MWS 2013
ホスト種別による分析
11
0
20000
40000
60000
2011Jan
2011Apr
2011Jul
2011Oct
2012Jan
2012Apr
2012Jul
2012Oct
Time
Num
ber o
f uni
que
host
s
"total"tota
• ユニークホスト数(従来の手法)
10/28/13 MWS 2013
morto発生
23/TCPのトラフィック増大
ホスト種別による分析
12
0
10000
20000
30000
40000
2011Jan
2011Apr
2011Jul
2011Oct
2012Jan
2012Apr
2012Jul
2012Oct
Time
Num
ber o
f uni
que
host
s
osLinux 2.4.xUNKNOWNWindows 7 or 8Windows XP
• ホスト種別によるユニークホスト数
10/28/13 MWS 2013
morto発生
23/TCPのトラフィック増大
ケーススタディ
1. 大規模感染マルウェア Morto 2. 23/TCPのトラフィックの増大 3. Apple端末の通信解析
13 10/28/13 MWS 2013
大規模感染マルウェア Morto • Morto
• 時期 ・・・ 2011年8月末ころ • 感染経路 ・・・ 3389/TCP • 感染する環境 ・・・ Windows系
• 発見した事 • 3389/TCPには、Full scannerの傾向をみせるアクセスが常にあった • Full scannerを見せるホストMortoの発生に影響を受けなかった • 急激な通信の増加がWindows XPであることが即座に分かった
14 10/28/13 MWS 2013
ホスト種別による3389/TCPのパケット数
15
0
10000
20000
30000
2011Jan
2011Feb
2011Mar
2011Apr
2011May
2011Jun
2011Jul
2011Aug
2011Sep
2011Oct
2011Nov
2011Dec
Time
Num
ber o
f pac
kets
osno MSSWindows 7 or 8Windows XP
10/28/13 MWS 2013
morto発生
大規模感染マルウェア Morto
16
0
2500
5000
7500
10000
2011Jan
2011Feb
2011Mar
2011Apr
2011May
2011Jun
2011Jul
2011Aug
2011Sep
2011Oct
2011Nov
2011Dec
Time
Num
ber o
f uni
que
host
s
osno MSSWindows 7 or 8Windows XP
• ホスト種別による3389/TCPのユニークホスト数
10/28/13 MWS 2013
morto発生
23/TCPのトラフィックの増大
17 10/28/13 MWS 2013
0
5000
10000
15000
2012Jan
2012Feb
2012Mar
2012Apr
2012May
2012Jun
2012Jul
2012Aug
2012Sep
2012Oct
2012Nov
2012Dec
Time
Num
ber o
f pac
kets
osLinux 2.2.x−3.xLinux 2.4.xLinux 2.6.xUNKNOWNWindows XP
• 2012年の年末にかけてパケット数の急増が観測された
• 発見した事 • Linux系端末のホスト数が急増 • Single-Shotが多いことがわかった
Linux系に感染するワームと 推測できる
23/TCPホスト種別とSingle-shot
Apple端末の通信解析
• Apple系端末の通信解析 • セキュリティ上あまりフォーカスされていないApple系端末からダーク
ネットに届く通信の解析をおこなった
• 発見した事 • iOS iPhone or iPadと判別される通信が 増加傾向にあることがわかった
18 10/28/13 MWS 2013
まとめ
• nicter darknet 2013で提供される4096個のIP空間で構成されるダークネットに対して、通信源ホストの分類を行った
• 以下の埋もれていた情報を新たに獲得できた
• Single-shotの通信パターン変化の検出 • 3389/TCPの通信の増加はWindows系である
=> OSの特定ができた • 23/TCPの通信解析
=> 原因が予想できた • Apple系携帯端末のダークネットへの通信が増加傾向にある
=> 総量としては少数の端末の傾向をつかめた
19 10/28/13 MWS 2013
今後の課題
• 通信パターンのより詳細な分類 • portに関する情報の利用 • パケットに関する時間情報について利用
• 未知のシグネチャを持つホストの解明 • OS推定において判別できなかったシグネチャの分析
10/28/13 MWS 2013 20
• ご清聴ありがとうございました
10/28/13 MWS 2013 21
