Dark TRACER
1.0.0
พื้นที่เก็บข้อมูลนี้ประกอบด้วยการใช้งาน R ของ Dark-TRACER ซึ่งเป็นเฟรมเวิร์กสำหรับการตรวจจับความผิดปกติตั้งแต่เนิ่นๆ ของกิจกรรมมัลแวร์ มันถูกนำเสนอในบทความต่อไปนี้ โปรดดูรายละเอียดใน PDF และสไลด์ นอกจากนี้ ชุดข้อมูลที่ใช้ในรายงานยังเปิดเผยต่อสาธารณะอีกด้วย
C. Han , J. Takeuchi, T. Takahashi และ D. Inoue, '' Dark-TRACER : กรอบการทำงานการตรวจจับเบื้องต้นสำหรับกิจกรรมมัลแวร์ตามรูปแบบ Spatiotemporal ที่ผิดปกติ'' IEEE ACCESS , 2022 [DOI] [PDF] [ที่เกี่ยวข้อง สไลด์] [ชุดข้อมูล] [รหัส]
Dark-TRACER เป็นเฟรมเวิร์กสำหรับการตรวจจับความผิดปกติตั้งแต่เนิ่นๆ ของกิจกรรมมัลแวร์ โดยการประมาณค่าการซิงโครไนซ์รูปแบบ spatiotemporal ที่สังเกตได้ในการรับส่งข้อมูล Darknet โดยใช้ประโยชน์จากวิธีการเรียนรู้ของเครื่องสามวิธี ประกอบด้วยสามโมดูลต่อไปนี้
darknet คือพื้นที่ที่อยู่ IP ที่ไม่ได้ใช้ของอินเทอร์เน็ต และเป็นเครือข่ายสังเกตการณ์ที่การรับส่งข้อมูลส่วนใหญ่เป็นการสื่อสารที่เป็นอันตราย มันมีประโยชน์สำหรับการทำความเข้าใจแนวโน้มการโจมตีทางไซเบอร์ทั่วโลก Darknet มีอีกชื่อหนึ่งว่ากล้องโทรทรรศน์เครือข่าย และไม่ควรสับสนกับ Dark Web เช่น Tor
| เครื่องยนต์ | รูปแบบข้อมูลอินพุต |
|---|---|
| เข้ม-GLASSO | ข้อมูลข้อความ |
| ดาร์ก-NMF | ข้อมูลข้อความ |
| Dark-NTD | ข้อมูล PCAP |
| ChangeFinder | ข้อมูลข้อความ |
ChangeFinder เป็นวิธีการทั่วไปและถูกนำมาใช้ในรายงานเพื่อการประเมินเชิงเปรียบเทียบ
| เครื่องยนต์ | ซอร์สโค้ด |
|---|---|
| เข้ม-GLASSO | online_portinfo.r / online_portinfo.r |
| ดาร์ก-NMF | DarkNMF.r / DarkNMF_alertonly.r / DarkNMF-port.r / DarkNMF-port_alertonly.r |
| Dark-NTD | online_script.R |
| ChangeFinder | 2021_cpd.ipynb |
1. If you have the result of the previous run, do the following. If not, do 2.
1.1 Create ${output_filespace}density_old_${theta}
1.2 Copy the previous results into
$ cp -r ${data_filespace}sensor${ID}/${Lasttime_YEAR}${Lasttime_MONTH}/${Lasttime_YEAR}${Lasttime_MONTH}${Lasttime_DAY}/${Lasttime_TIME}/result_M12/density_${theta}/* ${output_filespace}density_old_${theta}/
2. run online_density.r
3. (number of density files) == 6 and RT_density file has no 0 bytes
3.1 Run online_portinfo.r
4. delete input data from 6 days ago
5. when execution is finished, delete unnecessary files such as input data
1 Run DarkNMF.r
2 Run DarkNMF_alertonly.r
3 When execution is finished, delete unnecessary files such as input data.
1 Create ${data_filespace}sensor${ID}/Anomaly_dstPort_list
2 portlist_file="${data_filespace}sensor${ID}/Anomaly_dstPort_list/${START_YEAR}${START_MONTH}_Anomaly_dstPort_list_ver${ver}.txt
3 Write 0 to portlist_file
4 Execute DarkNMF.r
5 Execution of DarkNMF_alertonly.r
6 When portlist_file is non-zero
6.1 Execution of DarkNMF-port.r
6.2 Execution of DarkNMF-port_alertonly.r
7 When execution is finished, delete unnecessary files such as input data.
1 Execution of online_script.
2 When execution is finished, delete unnecessary files such as input data.
It can be run from 2021_cpd.ipynb. (includes sample data)
