Dark TRACER
1.0.0
이 저장소에는 맬웨어 활동의 조기 이상 탐지를 위한 프레임워크인 Dark-TRACER의 R 구현이 포함되어 있습니다. 다음 논문에 제시되었습니다. 자세한 내용은 PDF 및 슬라이드를 참조하시기 바랍니다. 또한 논문에 사용된 데이터세트는 공개적으로 이용 가능합니다.
C. Han , J. Takeuchi, T. Takahashi 및 D. Inoue, '' Dark-TRACER : 변칙적 시공간 패턴 기반 악성 코드 활동에 대한 조기 탐지 프레임워크,'' IEEE ACCESS , 2022. [DOI] [PDF] [관련 슬라이드] [데이터 세트] [코드]
Dark-TRACER는 세 가지 머신러닝 기법을 활용하여 다크넷 트래픽에서 관찰되는 시공간 패턴의 동기화를 추정하여 악성코드 활동의 이상 징후를 조기에 탐지하기 위한 프레임워크입니다. 다음 세 가지 모듈로 구성됩니다.
다크넷은 인터넷의 미사용 IP 주소 공간으로, 가장 많이 관찰되는 트래픽이 악성 통신인 관측 네트워크이다. 글로벌 사이버 공격 동향을 이해하는 데 유용합니다. 다크넷은 네트워크 망원경으로도 알려져 있으며 Tor와 같은 다크웹과 혼동해서는 안 됩니다.
엔진 | 입력 데이터 형식 |
---|---|
다크글래소(Dark-GLASSO) | 텍스트 데이터 |
다크-NMF | 텍스트 데이터 |
다크-NTD | PCAP 데이터 |
ChangeFinder | 텍스트 데이터 |
ChangeFinder는 기존의 방법으로 비교 평가를 위해 논문에서 사용되었습니다.
엔진 | 소스 코드 |
---|---|
다크글래소(Dark-GLASSO) | online_portinfo.r / online_portinfo.r |
다크-NMF | DarkNMF.r / DarkNMF_alertonly.r / DarkNMF-port.r / DarkNMF-port_alertonly.r |
다크-NTD | 온라인_스크립트.R |
ChangeFinder | 2021_cpd.ipynb |
1. If you have the result of the previous run, do the following. If not, do 2.
1.1 Create ${output_filespace}density_old_${theta}
1.2 Copy the previous results into
$ cp -r ${data_filespace}sensor${ID}/${Lasttime_YEAR}${Lasttime_MONTH}/${Lasttime_YEAR}${Lasttime_MONTH}${Lasttime_DAY}/${Lasttime_TIME}/result_M12/density_${theta}/* ${output_filespace}density_old_${theta}/
2. run online_density.r
3. (number of density files) == 6 and RT_density file has no 0 bytes
3.1 Run online_portinfo.r
4. delete input data from 6 days ago
5. when execution is finished, delete unnecessary files such as input data
1 Run DarkNMF.r
2 Run DarkNMF_alertonly.r
3 When execution is finished, delete unnecessary files such as input data.
1 Create ${data_filespace}sensor${ID}/Anomaly_dstPort_list
2 portlist_file="${data_filespace}sensor${ID}/Anomaly_dstPort_list/${START_YEAR}${START_MONTH}_Anomaly_dstPort_list_ver${ver}.txt
3 Write 0 to portlist_file
4 Execute DarkNMF.r
5 Execution of DarkNMF_alertonly.r
6 When portlist_file is non-zero
6.1 Execution of DarkNMF-port.r
6.2 Execution of DarkNMF-port_alertonly.r
7 When execution is finished, delete unnecessary files such as input data.
1 Execution of online_script.
2 When execution is finished, delete unnecessary files such as input data.
It can be run from 2021_cpd.ipynb. (includes sample data)