早稲田大学 基幹理工学部 情報理工学科後藤滋樹研究室千葉 大紀

IP アドレス構造を用いた攻撃通信の判別法Detecting Malicious Traffic with IP Address Features

Feb 3, 20111 Daiki CHIBA, GOTO Lab.

研究背景

Feb 3, 2011Daiki CHIBA, GOTO Lab.2

• スキャン通信• マルウェア本体の感染活動「 IP 攻撃通信」

マルウェア感染

• DDoS (Distributed Denial of Service) 攻撃• 迷惑メールの送信• 情報詐取

他ホストへの有害な動作

IP 攻撃通信

有害な動作

研究目標

Feb 3, 2011Daiki CHIBA, GOTO Lab.3

• IP アドレスの構造的な特徴の利用• 過去に観測されていない通信の判別

未知の IP 攻撃通信の判別

• 統合的な悪性判断手法複数の情報からの悪性判断

提案手法

Feb 3, 2011Daiki CHIBA, GOTO Lab.4

訓練モデル

悪性IP アドレスリスト 1

悪性IP アドレスリスト 2

通常IP アドレスリスト 1

通常IP アドレスリスト 2

Step 1. 訓練モデルの構築

複数のアドレスリストの利用 アドレスの構造的特徴を利用

教師あり機械学習2 クラス ( 悪性と通常 )

のパターン識別器として利用

特徴ベクトル抽出 SVM(Support Vector Machine)

提案手法

Feb 3, 2011Daiki CHIBA, GOTO Lab.5

訓練モデル

判定対象IP アドレス

Step 2. 通信の悪性評価

特徴ベクトル抽出

悪性IP アドレス

通常IP アドレス

SVM(Support Vector Machine)

バイナリビット列・初期値は 0

・第 n オクテットの数値 X

提案手法

Feb 3, 2011Daiki CHIBA, GOTO Lab.6

特徴ベクトル抽出手法上位 　　　　　　　　オクテット

第 n オクテット

1 2 3 4

次元の特徴ベクトル

IP アドレス

192 . 16

8 . 5 . 88

N = 1 256M

N = 2 512M

N = 3 768M

N = 4 1024M

※ 出力が 0 のパラメタは表記の都合上省略している

性能評価

Feb 3, 2011Daiki CHIBA, GOTO Lab.7

•Alexa Top Global Sites

•DNSWL (DNS White List)

•CDN (Contents Delivery Network)

•教育機関

通常

•ハニーポットで収集したデータ•Spamhaus• DBL (Domain Block List)• PBL (Policy Block List)• SBL (Spamhaus Block List)

悪性評価に用いるデータ

悪性 IP アドレスHoneypot DBL PBL SBL 計

3,097 508 628,042 4,233 635,880

通常 IP アドレスAlexa DNSWL CDN Univ 計10,869 136,500 67 125 147,561

性能評価

Feb 3, 2011Daiki CHIBA, GOTO Lab.8

特徴ベクトル抽出特徴ベクトル単位で重複を除

去→ 　ユニークな特徴ベクトル

N 1 2 3 4

悪性 164 16,307 563,083 635,880

通常 173 9,176 37,213 147,561

和集合 179 21,085 600,027 783,441

線形 SVM (LIBLINEAR) 非線形 SVM (LIBSVM)

5 分割交差検定 (5-fold Cross-Validation)→ 未知のアドレスに対する性能評価

評価方法

性能評価

Feb 3, 2011Daiki CHIBA, GOTO Lab.9

真の結果悪性 通常

判定結果

悪性（ Positive

）True Positive

(TP)False Positive

(FP)

通常（ Negativ

e ）False Negative

(FN)True Negative

(TN)

評価指標 正答率精度

悪性と判定したアドレスのうち実際に悪性の割合適合率

実際に悪性のアドレスのうち正しく悪性と判定した割合再現率

性能評価

Feb 3, 2011Daiki CHIBA, GOTO Lab.10

N = 1 N = 2 N = 3 N = 40%

10%20%30%40%50%60%70%80%90%

100% 線形 SVM

精度 (Accu-racy)適合率 (Precision)

再現率 (Recall)

N = 1 N = 2 N = 3 N = 40%

10%20%30%40%50%60%70%80%90%

100% 非線形 SVM

AccuracyPrecisionRecall

N = 3 が最も良い結果→ 多くのネットワークで IP アドレスブロック /24

N = 3 に対して N = 4 の性能が劣る→ アドレス全体を含むと未知のアドレスに対するロバスト性が失われる

N = 1 は識別が困難→ 約半数の特徴ベクトルが重複

まとめ

Feb 3, 2011Daiki CHIBA, GOTO Lab.11

• IP アドレスの構造的な特徴の利用• 過去に観測されていない通信の判別未知の IP 攻撃通信の判別

• 統合的な悪性判断手法複数の情報からの悪性判断

本研究の成果：IP アドレスそのものを悪性通信の判断材料として利用可能

今後の課題

Feb 3, 2011Daiki CHIBA, GOTO Lab.12

特徴ベクトルの拡張学習アルゴリズムの改善による精度の向上実ネットワークで動作させるための実装

補足資料

Feb 3, 2011Daiki CHIBA, GOTO Lab.13

SVM (Support Vector Machine) とは？

Feb 3, 2011Daiki CHIBA, GOTO Lab.14

教師あり機械学習のうちの 1 つ「線形識別器」＋「マージン最大化」

線形分離不可でも分類可能「ソフトマージン」＋「カーネル法」

2 クラスの判別特徴空間に学習データを 2 分する超平面を構築一意な最適解が求まる

「はみ出し」を許容「はみ出し」の総和はなるべく小さく入力データを高次元に写像してデータを識別する

交差検定 (Cross-Validation)

Feb 3, 2011Daiki CHIBA, GOTO Lab.15

5 分割交差検定 (5-fold Cross Validation)特徴ベクトルデータをランダムに 5 分割

4個を教師データ、残り 1個をテストデータ5種類繰り返して平均値を算出

悪性・通常のそれぞれの特徴ベクトルはユニーク特徴ベクトル単位で重複を除去済

純粋に未知の IP アドレスに対する性能評価と同等

参考文献

Feb 3, 2011Daiki CHIBA, GOTO Lab.16

[1] Dionaea, http://dionaea.carnivore.it/[2] The Spamhaus Project, http://www.spamhaus.org/[3] Alexa Top Sites, http://www.alexa.com/topsites[4] DNS Whitelist, http://www.dnswl.org/[5] R.E.Fan, K.W.Chang, C.J.Hsieh, X.R.Wang, and C.J.Lin. LIBLINEAR:

A Library for Large Linear Classification, Journal of Machine Learning Research 9 (2008), pp.1871--1874. Software available at http://www.csie.ntu.edu.tw/~cjlin/liblinear

[6] C.C.Chang and C.J.Lin, LIBSVM : a library for support vector machines, 2001. Software available at http://www.csie.ntu.edu.tw/~cjlin/libsvm