卒业论文B合同审查会.PPT

分析に用いたデータ 2010/2/1 (Mon.) 卒業論文B 合同審査会 * 表 ： 各データセットにおける攻撃元のOSの割合 OS パケット数 CCC_SYN HONEY_SYN Windows 4,815,260 3,390 MWSシグネチャ 2,619 4,003 Unix / Linux 37 156 Redline 5 0 Novell NetWare 0 815 UNKNOWN 0 27,028 計 4,817,921 35,392 MWSシグネチャの割合 2010/2/1 (Mon.) 卒業論文B 合同審査会 * 図：CCC_SYNのMWSシグネチャ 図：HONEY_SYNのMWSシグネチャ 宛先ポート番号 2010/2/1 (Mon.) 卒業論文B 合同審査会 * 図：CCC_MWSの宛先ポート番号 図：HONEY_MWSの宛先ポート番号 送信元IPアドレスの国別情報 2010/2/1 (Mon.) 卒業論文B 合同審査会 * 図：CCC_MWSの送信元国別情報 図：HONEY_MWSの送信元国別情報 送信元IPアドレスのDNSBL掲載率 2010/2/1 (Mon.) 卒業論文B 合同審査会 * DNSBLとは、 主にスパムメールの送信者のIPアドレスを収集したもの 本研究では The Spamhaus Project のものを利用 SBL (Spamhaus Block List) スパムメールの送信、中継に関係したIPアドレスのリスト XBL (Exploits Block List) ワームやトロイの木馬、公開プロキシなどによってハイジャックされ、 攻撃の踏み台となったIPアドレスのリスト PBL (Policy Block List) 動的IPアドレスのリスト CCC_SYN, HONEY_SYNに加え、頻出のシグネチャ 送信元IPアドレスのDNSBL掲載率 2010/2/1 (Mon.) 卒業論文B 合同審査会 * 表 DNSBL掲載率 　 各DNSBLの掲載率 SBL XBL PBL CCC_MWS 0.86 % 0.58 % 46.97 % HONEY_MWS 0.00 % 0.32 % 29.22 % 53760_4 0.00 % 0.00 % 40.14 % 60352_6 0.00 % 0.00 % 41.63 % 16384_1 3.37 % 1.12 % 23.60 % 2010/2/1 (Mon.) 卒業論文B 合同審査会 * * 卒業論文B 合同審査会 卒業論文B 合同審査会 卒業論文B 合同審査会 卒業論文B 合同審査会 卒業論文B 合同審査会 卒業論文B 合同審査会 OSのシグネチャを用いた悪意のある通信の検出法 後藤研究室 学部4年 1G06R129-3 棚澤 崇行 2010/2/1 (Mon.) 卒業論文B 合同審査会 研究背景 2010/2/1 (Mon.) 卒業論文B 合同審査会 * マルウェアにおける脅威の傾向 カーネル?マルウェアの出現 独自に実装されたネットワークドライバを用いて、カーネルモードで通信を行う 一度感染したら、ファイアウォールでは通信を遮断できない ボットネット、ボットの感染拡大 攻撃者が外部から感染マシンをコントロール可能 頻繁な亜種の出現、自己更新機能 マルウェアとは malware (malicious software) 悪意のあるソフトウェアの総称 近年のマルウェアに対し、既存の対策では 効果が薄れてきている 先行研究 2010/2/1 (Mon.) 卒業論文B 合同審査会 * 『TCPフィンガープリントによる悪意のある通信の検出』 後藤研 M2 木佐森さん, MWS 2009, pp.553--558, 2009.10. 概要 独自に実装されたネットワークドライバ発のパケットは、既存のOSとは異なるTCPヘッダの特徴をもつことが知られている そこで、 “一般的なOSでは利用されないTCPフィンガープリント (= TCPヘッダの特徴) を有する攻撃パケットはFKM感染ホストが発信した” と仮定した上で、FKM感染ホストの実態調査、および 通信パターンの分析を行っている MWSシグネチャを定義 FKM (Full Kernel Malware) ???すべての機能をカーネルモードで動作するマルウェア passive TCP fingerprinting, p0f * passive TCP fingerprinting 受信した通信パケットの特徴から、受動的に通信相手のOSを特定する技術 TCP/IPではオプション等の実装がOSごとに異なるこ