オントロジを活用したマルウエア攻撃の見える化について

セマンティックWebコンファレンス2010
オントロジを活用したマルウエア
オントロジを活用したマルウ
ア
攻撃の見える化について
2010/3/5
株式会社富士通研究所
津田宏, 小櫻文彦, 鳥居悟
All Rights Reserved,Copyrights FUJITSU LABORATORIES LIMITED 2010
ビジネス情報ナビゲーター
I.
富士通研究所の開発したナレッジの見える化システム
II.
社内の様々なシステムに散在する、文書やDBなど様々な情
報源から、ものごとの関係性を自動抽出し、RDFで統合・見え
る化することが可能。複数の情報源からの様々な関係を把握
するのに役立ちます。
III.
(例1) 富士通研究所
研究員約1,000名のスキルや人脈を検索するKnowWho
(2004/11/19 日本経済新聞「特定分野に強い人材検索システム」)
(例2) 服薬指導支援
薬や健康食品の飲み合わせチェック
（2006/10/9 第39回日本薬剤師会学術大会）
(例3) 地方銀行
行内に散在する顧客間の関係を統合・見える化
(2008/5/7 「滋賀銀行様においてビジネス情報ナビゲーションシステム
が稼働」富士通プレスリリース)
2
81
All Rights Reserved,Copyrights FUJITSU LABORATORIES LIMITED 2010
ビジネス情報ナビゲーターの構成
1. メタデータ自動生成
2. 関係を検索＋分析＋見える化
業務で使う様々な情報源(DB, テキスト、アプリ)
から、人に関するメタデータを変換・統合
サービス
利用履歴
人のスキル・人脈を高速に検索し、関
係をネットワーク分析 (Know Who)
業務オントロジー(OKAR)
ログ
ログ分析
文書
検索
視覚化
統
合
DB
属性変換
営業, SＥさん
がエキスパート
人脈検索
情報抽出
自然言語処理技術
人脈
メタデータ
(RDF)
ERP, 情報システム
報告書・日報
スキル
関係抽出
技術者
文書
group
meeting
スケジューラ
アプリ
人
関係メタデータ
自動生成技術
3
All Rights Reserved,Copyrights FUJITSU LABORATORIES LIMITED 2010
CCC DATAsetからのマルウエア分析
研究用データセット CCC DATAset 2008/2009
z サイバークリーンセンター(https://www.ccc.go.jp/)で収集しているボット観測
データ
z マルウェア対策研究人材育成ワークショップ(MWS 2008,2009)にて、研究用
デタセトとして利用
データセットとして利用
z 以下の3種類のデータ (CCC DATAset 2008の場合)
（1）マルウェア検体
z ハニーポットで取得したマルウェア1検体のハッシュ値
（2）攻撃通信データ
z ハニーポットで取得した通信のフルキャプチャデータ
z 2台（WinXP、Win2000）の2日分、約2.8GB
z FTTH、動的IPアドレス
FTTH 動的IPアドレス
分析対象
（3）攻撃元データ
z ハニーポットで取得したマルウェア取得時のログデータ
z 時刻、ダウンロードホストIPアドレス、利用ポート番号／プロトコル、通信方向、ハッ
シュ値（SHA1）、ウイルス名称、ファイル名
z ハニーポット112台、6ヶ月間、約294万レコード
(ハニーポット: マルウエア攻撃を受けるように設置されたPC)
4
82
All Rights Reserved,Copyrights FUJITSU LABORATORIES LIMITED 2010
マルウエアのライフサイクル
亜種（ウイルス名称異なる）
マルウエアファミリ
ＸＸＸ.A
ＸＸＸ. B
ＸＸＸ
ＸＸＸ. C
コード変異
（ハッシュ値が異なる）
ダウンロード数
ウイルス名称
=UNKNOWN
（未知マルウエア)
最初の出現
ウイルス名称
命名 =XXX.c
ＵＮＫＮＯＷＮ期間
最後の出現
日時
命名後期間
5
All Rights Reserved,Copyrights FUJITSU LABORATORIES LIMITED 2010
マルウエア分析環境
攻撃元データ
攻撃元データ
攻撃元デ
タ
攻撃元データ
攻撃通信
データ
ビジネス情報ナビゲータ
メタデータ抽出・
変換
CCC DATAset
ウィルス-地域マップ
メタデータ(RDF)
検索・
マイニング
視覚化
ウィルス連鎖マップ
オントロジー(OWL)
分析者
マルウェアファミリ
download-from
Is-a
name
ウイルス名称
ハッシュ値
マルウェア
地域
ダウン
area
ロードホスト
試行錯誤
id
attack-virus
ハニーポット
attack-to
6
83
attack-from
攻撃
date
日時
All Rights Reserved,Copyrights FUJITSU LABORATORIES LIMITED 2010
分析用メタデータ整備
ウイルス名称
から抽出
マルウェアファミリ
is-a
is
a
ウイルス名称
name
ダウン
ロードホスト
id
chain
一定期間内に
起こる攻撃ペア
よりマイニング
ハニーポット
地域
area
download-from
マルウェア
ハッシュ値
IPアドレスと
Whoisサーバの
情報より変換
IPアドレス
ipaddress
attack-virus
attack-from
攻撃
attack-to
dc:date
日時
攻撃元データに含まれる関係
7
All Rights Reserved,Copyrights FUJITSU LABORATORIES LIMITED 2010
(1) マルウエアファミリと地域の関連
ダウンロード時点では未知マルウエアだったものが、どこから攻撃されたか。命
名後のマルウエアファミリと地域の関係を見える化。
マップ：アンカーマップ(地域を固定)
欧州
アジアと欧州だ
けの関連がない
地域固有
地域固有
アジア
北米
8
84
All Rights Reserved,Copyrights FUJITSU LABORATORIES LIMITED 2010
(2) ウイルスの連鎖感染
マルウエア間の “chain” 関係のマイニング
z 一定時間(5分)以内に、よく一緒に攻撃されるウイルス
z (eg) KnowWhoにおける、共著者関係、同一会議への共出席関係
トレンドマイクロ社レポー
トにも、
TSPY_KOLABC.CHが、
WORM_SWTYMLAI.C
Dおよび
BKDR_PEOBOT.GNを
生成するという説明あり。
起点ウイルス
連鎖先ウイ
連鎖先ウイルス
CCC DATAset2009におけるchain関係上位の見える化(一部)
9
All Rights Reserved,Copyrights FUJITSU LABORATORIES LIMITED 2010
(3) 未知マルウエアへの連鎖感染
2009.4のchain関係の見える化
未知マルウエアへ３
つのウイルスから連
鎖が見て取れる
2009年4月サイ
バークリーンセ
クリンセ
ンター活動実績
でも、
WORM_AUTO
RUN.CZUと未
知検体への注
意勧告がなされ
ており、これに
相当する
10
85
All Rights Reserved,Copyrights FUJITSU LABORATORIES LIMITED 2010
(4) 多くのマルウエアの連鎖元
PE_VIRUT.AV: CCC DATAset2009で攻撃数最多のマルウェア
ほとんど連鎖元と
しての動き
自分自身と連
鎖：複数から同
時攻撃という意
味だろう
11
All Rights Reserved,Copyrights FUJITSU LABORATORIES LIMITED 2010
まとめ
CCC DATAsetにおけるマルウエアのマクロな振る舞い
を、セマンティックWebベースの見える化ツールで分析

地域の関係、連鎖感染など、注意すべき関連性を相関マップに
より分かりやすく見える化
可視化は単なる手段。ツールにデータを放り込めば終わ
りではない。どんな問題を解決するのに、何を見たいか
を明らかにすることが必要
オントロジー、メタデータにより一旦データを整理すること
で、こうした試行錯誤が見通し良くなる。
うした試行錯誤が見通し良くなる
課題：さらに異種の情報源も加えた分析。LODで何か使
えるものがあるか?
12
86
All Rights Reserved,Copyrights FUJITSU LABORATORIES LIMITED 2010
参考文献・リンク
小櫻、津田、鳥居、”ウイルスのライフサイクルに着目した
攻撃挙動の見える化”, MWS2008, 2008.10
小櫻、津田、鳥居、”ウイルスの時間的な関連性に注目した見える化”,
MWS2009, 2009.10
松井,津田,片山,
松井津田片山 “ナレッジマネジメントツール:ビジネス情報ナビゲーター”
ナレッジマネジメントツール:ビジネス情報ナビゲーター ,
FUJITSU, pp.325-330, Vol.57, No.3, 2006
津田,ビジネスに生かすメタデータの統合・見える化技術, INTAPセマンティック
Webコンファレンス, 2008
W3C KnowWho, http://swada.w3.org/~htsuda/
滋賀銀行様においてビジネス情報ナビゲーションシステムが稼働～地域企業の
ビジネス相関図を見える化することで、地域密着型の提案を実現～, 富士通プレ
http://pr.fujitsu.com/jp/news/2008/05/7.html
fujitsu com/jp/news/2008/05/7 html
スリリス 2008/5/7 http://pr
スリリース,
畑田他, “マルウエア対策のための研究用データセットとワークショップを通じた
研究成果の共有”, MWS2009
MWS2009, http://www.iwsec.org/mws/2009/
サイバークリーンセンター https://www.ccc.go.jp/
13
87
All Rights Reserved,Copyrights FUJITSU LABORATORIES LIMITED 2010

Download Report