不正ポートスキャンの直交展開

ポートスキャンパケットの
直交展開
菊池研究室小堀智弘
指導教員菊池浩明
目次
1. 研究の動機
2. 提案方式の原理
3. 実験結果
ポートスキャンと定点観測センサ
S1
S2
S3
445
445
137
25
80
80
139
80
135
135
135
m1
m2
445
m3
センサの観測パケット
• 宛先ポートごとのパケット数は一様ではなく、
ポート間は独立ではない
ポート
135
445
ICMP
139
80
S1
82
61
3
8
2
センサ
S2
41
30
6
8
2
S3
6
14
120
11
89
平均
43
35
43
9
31
ポート間が独立でない理由
ポート
ワーム
135
445
Gaobot
○
○
Blaster
○
○
1434
○
Slammer
…
…
欠損ポートの問題
• ポートフィルタリング
– パケット数が人工的に減少する（観測誤差）
s1
s2
s3
s4
P1
10
15
10
18
ポート P2
24
25
28
0
P3
14
20
16
8
本当はいくつ？
研究目的
• 無観測ポートのパケット量を直交基底を用い
て推定する
目次
1. 研究の動機
2. 提案方式の原理
3. 実験結果
直交展開の応用
1. 観測ベクトルの近似
– 観測ベクトルの圧縮や近似を行う
2. 観測値スペクトル解析
– センサの分布や時刻による変化
3. 欠損データの補完
– 欠損したポートデータを他のポートの観測値か
ら予測する
本研究のアプローチ
• 観測ベクトルの直交基底と直交展開
直交基底
観測ベクトル
135
445
1434
基底
基底
g1
g2
 82 
1
 0
 
 
 
 61  C1  1   C2  0 
8
 0
1
 
 
 
直交性：（g1，g2）=0
基本定義：観測ベクトル
n
g0
s1
s2
s3
a1
a2
a3
p1
10
15
11
12
p2
4
6
8
6
p3
15
20
16
17
m
a’i = ai – g0
欠損ポートの近似
真値未知係数
欠損したデータ
6 10
a'  a  xe
20
と表せる。直交基底より
0 0
－ 20
1
エラーベクトル
(a ' , g i )  ( g 0 , g i )  ci || g i ||2  x(e, g i )
(a' , e)  ( g 0 , e)  ci ( g i , e)  x || e ||2
が成立する。これをxについて解くと次が成立する
m
x
( g 0 , e)   {( a ' , g i )(e, g i )  ( g 0 , g i )(e, g i )}
i 0
m
1   (e, g i ) 2
i 0
目次
1. 研究の動機
2. 提案方式の原理
3. 実験結果
実験データ
• JPCERT/CC
• 定点観測システム（ ISDAS ）
• センサ数30台
– アドレス空間上で独立になるように分散した正規
ホスト
– 観測期間2005/10/1-2006/3/31(6ヶ月)
（３）欠損ポートと補完
• ポート445を欠損
100000
Actual ai
approximated ai2
80000
Number of packets
60000
40000
20000
0
-20000
-40000
-60000
0
5
10
15
sensor ID
20
25
30
補完の誤差の分布
12
10
Frequency
8
6
4
2
0
-80000
-60000
-40000
-20000
0
Difference
20000
40000
60000
80000
補完の精度
センサ数 m
平均 μ
誤差平均 μ（x-a2）
標準偏差 σ（ x-a2 ）
MAX (x-a2 )
誤差率 2σ/μ（a2）
28
15326
0
3302
10083
0.43
まとめ
• 観測ベクトルのポート間の関係表す独立した直
交基底を求め、その応用を示した
• 実観測データを用いて提案方式の実験を行った
御清聴ありがとうございました
欠損ポートの補完原理
ポート
P1
g0
平均
20
欠損
s
40
60
P2
30
0
50
P3
6
10
直交基底の算出
• 共分散行列 M = Σa’i・a’iTの固有値λ1,λ2 ,・・・と
固有ベクトルg1, g2, ・・・
（ただし、 λ1 ≧ λ2 ≧ ・・・）
性質 1、正規性 ||g|| = 1 （単位ベクトル）
2、直交性（gi ，gj） = 0 （内積）
3、誤差 Σ（ai - cgi）2 → 最小化
直交展開と線形結合
• どの成分についても
a = g0 + c1g1 + c2g2 + ・・・
a
線形結合
直交展開
（ g0 ,
で表現できる
・
・
・
g1
c1,c2,・・・
, g2）
展開
ci = （a , gi）
応用1：観測ベクトルの近似
k
a(k) = g0 + Σ cigi 第k次近似
a
直交展開
c1,c2,・・・,cm
低周波成分
k次近似
高周波成分
応用2：観測ベクトルのスペクトル解析
a
直交展開
c1,c2,・・・,cm
特徴量
ポートスキャンパケットの直交基底
135
445
ICMP
139
80
1026
1433
g1
0.803
0.580
-0.034
0.069
-0.008
0.084
0.045
g2
-0.017
0.044
0.872
0.234
0.332
0.054
0.081
g3
-0.103
0.033
-0.002
-0.224
-0.135
0.683
-0.004
g4
0.057
-0.111
-0.114
0.421
0.131
-0.350
-0.016
…
…
…
…
…
1030
0.001
0.003
0.038
-0.02
（１）近似収束：
s01の原観測ベクトルと第1、第5近似
20000
a1
a1^(1)
a1^(5)
15000
10000
5000
0
135 445ICMP139 80 1026
1433
1027
1434
4899137
23310
1025631 22 1028
10291133389
1030
Destination port No.
（２）スペクトラム解析：センサの分布
140000
120000
100000
c2
80000
60000
40000
20000
0
-20000
-40000
-20000
0
20000
c1
40000
60000
80000
直交基底
g0、a’ｊ、Mの求め方
a’j
g0
S s1
s2
s3
a1
a2
a3
p1
10
15
11
12
-2
3
-1
p2
4
6
8
6
-2
0
-2
17
-2
3
-1
P
a11
amn
am1
p3
a1n
15
20
16
m



M  aj aj
j 1
Mより、固有値を算出する
原データとの平均二乗誤差
1.4e+006
1.2e+006
MSE
1e+006
800000
600000
400000
200000
0
0
2
4
6
8
10
12
14
Degree of approximation k
16
18
20
c1 とc2 軸上のセンサの散布図
（東海大）
20000
15000
10000
5000
c2
0
-5000
-10000
-15000
-20000
-25000
-20000
0
20000
c1
40000
60000
（２）時間推移：3つのセンサのc1とc2上の推移
2005 年10月から1ヶ月毎
4000
s01
s03
s26
3000
2000
c2
1000
0
-1000
-2000
-3000
-10000 -8000 -6000 -4000 -2000
0
c1
2000
4000
6000
8000
10000
センサs1の月毎の直交成分cの推移
10000
c1
c2
c3
c4
c5
8000
6000
4000
2000
0
-2000
-4000
-6000
2005/10
2005/11
2005/12
2006/01
month
2006/02
2006/03
センサとc1の関係
50000
40000
30000
20000
10000
0
-10000
-20000
0
50
100
150
IP address (x.*.*.*)
200
250
提案方式と実データの比較
90000
Actual a1
approximated
80000
Number of packets
70000
60000
50000
40000
30000
20000
10000
0
-10000
135445ICMP139 801026
1433
1027
1434
4899137
23310
1025631 221028
10291133389
1030
Destination port number

Download Report