Dark TRACER

このリポジトリには、マルウェア活動の早期異常検出のためのフレームワークである Dark-TRACER の R 実装が含まれています。以下の論文で紹介されました。詳細はPDFとスライドをご覧ください。また、論文で使用されているデータセットは公開されています。

C. Han 、J. 竹内、T. 高橋、D. 井上、「 Dark-TRACER : 異常な時空間パターンに基づくマルウェア活動の早期検出フレームワーク」、 IEEE ACCESS 、2022 年。 [DOI] [PDF] [関連スライド] [データセット] [コード]

Dark-TRACER は、3 つの機械学習手法を活用して、ダークネット トラフィックで観察される時空間パターンの同期を推定することにより、マルウェア活動の異常を早期に検出するためのフレームワークです。以下の3つのモジュールで構成されています

• Dark-GLASSO: 疎構造学習アルゴリズムである Graphical Lasso を利用します。
• Dark-NMF: 非負行列因数分解 (NMF) を利用します。
• Dark-NTD: 非負タッカー分解 (NTD) を利用します。

ダークネットはインターネットの未使用の IP アドレス空間であり、観測されるトラフィックのほとんどが悪意のある通信である観測ネットワークです。世界的なサイバー攻撃の傾向を理解するのに役立ちます。ダークネットはネットワーク望遠鏡としても知られており、Tor などのダークウェブと混同しないでください。

ChangeFinder は従来の手法であり、論文では比較評価のために使用されました。

• Dark-GLASSO、Dark-NMF、および Dark-NTD はすべて、このシェル スクリプトでまとめて処理できます。
  • STARTとENDで期間を指定し、nextwindow_intervalの間隔で順次計算を行います。
• 180行目まではダークネットのPCAPデータからモジュールごとの入力データを用意する処理です。
  • 場合によっては、入力データが空であるか、十分な長さがないため、チェックされます。
  • Dark-GLASSO は 10 分の入力データを使用しますが、Dark-NMF と Dark-NTD は 30 分を使用します。
• PCAPではなくCSVデータを加工した場合は、モジュールに合わせてCSVから入力データ形式を作成してください。
  • Dark-GLASSO の場合は 113 行目の tcpdump、Dark-NMF の場合は 169 行目の tcpdump でテキスト データが生成されます。これが入力データです。
  • Dark-NTD の場合、PCAP は入力データです (174 行目)。入力データ形式はDark-NTDのソースコードを見てCSVから作成する必要があります。
• 各モジュールの実行部分は 180 行目から始まります。

 1. If you have the result of the previous run, do the following. If not, do 2.
  1.1 Create ${output_filespace}density_old_${theta}
  1.2 Copy the previous results into
    $ cp -r ${data_filespace}sensor${ID}/${Lasttime_YEAR}${Lasttime_MONTH}/${Lasttime_YEAR}${Lasttime_MONTH}${Lasttime_DAY}/${Lasttime_TIME}/result_M12/density_${theta}/* ${output_filespace}density_old_${theta}/

2. run online_density.r
3. (number of density files) == 6 and RT_density file has no 0 bytes
  3.1 Run online_portinfo.r
4. delete input data from 6 days ago
5. when execution is finished, delete unnecessary files such as input data

 1 Run DarkNMF.r
2 Run DarkNMF_alertonly.r
3 When execution is finished, delete unnecessary files such as input data.

 1 Create ${data_filespace}sensor${ID}/Anomaly_dstPort_list
2 portlist_file="${data_filespace}sensor${ID}/Anomaly_dstPort_list/${START_YEAR}${START_MONTH}_Anomaly_dstPort_list_ver${ver}.txt
3 Write 0 to portlist_file
4 Execute DarkNMF.r
5 Execution of DarkNMF_alertonly.r
6 When portlist_file is non-zero
  6.1 Execution of DarkNMF-port.r
  6.2 Execution of DarkNMF-port_alertonly.r
7 When execution is finished, delete unnecessary files such as input data.

 1 Execution of online_script.
2 When execution is finished, delete unnecessary files such as input data.

 It can be run from 2021_cpd.ipynb. (includes sample data)

• 前処理ステップとして、多数の一意のホストとパケットを含む宛先ポート番号が識別され、除外されます。
  • 期間の設定や判定方法はお客様にお任せいたします。
  • また、アラートで頻繁に取得されるポート番号は、不要なポート番号と考えられるので除外することもできます。
  • 前処理でポート番号を除外する理由は次のとおりです。
    • 興味のないポート番号を持つパケットを除外することで、注目されていない他のポート番号が強調表示されることが期待されます。
• 時間にズレがないように注意してください。実験しているサーバーのタイムゾーンは「アジア/東京」である必要がある場合があります。