ポート番号埋め込みベクトルを用いたダークネットスキャンパケット解析

近年、IoTデバイスの脆弱性を利用したサイバー攻撃による被害が深刻になっており、対策が求められている。本研究では、機械学習を用いてダークネットで観測されたマルウェア感染デバイスによる攻撃と、その変化を追跡する手法を提案する。最初に、FastTextによる特徴抽出を行い、スキャンパケットの宛先ポート番号から、ターゲットとなっているネットワークサービス間の相関関係を捉える。次に、非線形次元圧縮手法のUMAPを用いて、ホストを２次元空間に写像し可視化する。最後に、DBSCanアルゴリズムに基づくクラスタリングを行い、同じ攻撃パターンを持つマルウェア感染ホストのグループを自動的に識別する。実験では、/16のダークネットセンサーから収集された1か月間のダークネットトラフィックデータを使用して解析を行った。その結果、提案手法によって、同じボットネットに感染している可能性の高いMirai亜種のグループを検出できることを示した。また、観測期間中に9530/TCPの脆弱性を狙った、新たなMirai亜種の出現を検知した。

In this research, we propose a method for tracking the attacks by malware-infected devices observed in the darknet and their changes using machine learning. First, feature extraction using FastText is executed, and the correlation among targeted network services is captured from the destination port numbers of scan packets. Then, we employ a nonlinear dimension reduction technique, UMAP, to project hosts into a 2-D embedding space for visualization purposes. Finally, DBSCan is performed to automatically identify groups of malware infected hosts with the same attack patterns. In the experiments, we use a one-month darknet traffic trace collected from a /16 darknet sensor. As a result, we showed that a group of Mirai variants that could be controlled by the same botnet can be properly detected by using the proposed method. We also succeeded in detecting a new Mirai variant that targeted the vulnerability of 9530/TCP during the observation period.