IPフロー情報を利用した確定時間でのマルウェアトラフィック検知

ボットネットやランサムウェア等のマルウェアの活動による被害が社会問題となっている．マルウェアの活動を効率的に検知し被害を低減するため，その活動トラフィックをネットワーク上で検知する研究が提案されている．これらの研究で利用されるトラフィック情報には，パケット情報，IPフロー情報，Interfaceカウンタ情報の3種類がある．IPフロー情報を用いる場合，5タプルでトラフィックが集約され軽量だが，タイムアウトが発生するかコネクションが終了するまで情報が出力されず，スキャン活動や長期間継続するフローに対し早期の検知が困難である．本研究では，これらのフローが終了する前に検知を行い，特徴量を変更することで，検知性能を従来のシステムと同等に保つことを目指す．本報告では，フローごとのコネクション状態とポート番号，トランスポート層プロトコルの遷移を特徴量として用いる既存の検知手法と，Zeekを用いてIPフロー情報に変換したISCX botnetデータセットを利用し，フロー継続時間の上限を設定しない場合（データセット中の最長フロー 240,418秒）と30秒とした場合で検知性能を調査した．結果，それぞれ98.1%と96.1%のF値で検知が可能であることを確認した．本調査から，30秒以内（確定時間）でのマルウェアトラフィック検知をわずかな検知性能の低下で実現可能なことを示した． The damage caused by the activities of malware such as botnets and ransomware has become a social problem. In order to detect malware activity efficiently and reduce the damage, research on detecting malware activity traffic in the network has been proposed. There are three types of traffic information used in these research: packet information, IP flow information, and interface counters information. In the case of using IP flow information, traffic is aggregated in 5-tuples, which is lightweight, but the information is not output until a timeout occurs or the connection is terminated. Therefore, making it difficult to detect scanning activities or long-lasting flows at an early stage.This research aims to maintain the same detection performance as conventional research by modifying the feature while detecting these flows before they terminate. In this paper, we experiment with existing methods that use connection status, port numbers, and transport layer protocols transition of each flow as features. We used the ISCX botnet dataset converted into IP flow information using Zeek to investigate the detection performance when the upper limit of flow duration is not set (the longest flow in the dataset: 240,418 seconds) and when the upper limit is set to 30 seconds. As a result, we confirmed that detection was possible with an F-measure of 98.1% and 96.1%, respectively. From this research, we showed that it is possible to detect malware traffic within 30 seconds (a certain time) with a slight decrease in detection performance.