IoT Malwareが行うScanは下記のようにSYNを送信してSYN,ACKが帰ってくるかの確認などを大量に行います。この大量通信の特徴がSNMPのMIBの値から抽出できないか検討してみました。
通信前のMIB値と通信後のMIB値の差分取得し、その差分を独自ロジックで解析を行い解析デ ータが作成されます。この処理をIoT Malware 約1600サンプルに対して行いグラフ化を行いました。解析データはMIB値の大きさに依存しないように比率で出力されます。
利用したサンプルは横浜国大様から提供していただいたIoT Malwreのデータセット
Y軸は独自ロジックで得られた解析結果(比率)、X軸はSYNパケットの数となります。
青いプロットの点が1つのマルウエアの通信結果です。
このグラフからIoT Malwareからパケットなどの送信が多くなると再送などが発生するために解析結果のあるパラメータ が増加する様子を見ることができます。MIBで観測された通信不具合がこの実験結果との類似性を見ることで、SNMPを利用したなんちゃってNDR的なアプローチを模索していきたいと思っています。
kouichirou_okada@rainforest.tokyo
0 件のコメント:
コメントを投稿