ベンチマークデータとマルウェア情報の2種類を用意しております。
目次
...
アンカー ベンチマークデータ ベンチマークデータ
ベンチマークデータ
ベンチマークデータ | |
ベンチマークデータ |
NII-SOCS参加機関のトラフィックデータの一部を抽出してランダム化したベンチマークと、NII-SOCS攻撃検知システムの警報データのセット。
トラフィックデータは、通信の内容であるペイロードを含まないKyotoData2016フォーマット[1][2]に準拠した形に整形されております。
ベンチマークデータは、以下のファイルで構成されますベンチマークデータは、以下のファイルで構成されます
ファイル名 | 説明 | 更新 |
---|---|---|
KYOTODATA-X_yyyyMMdd.txt | ベンチマークデータ本体。通信の内容であるペイロードを含まないKyotoData2016フォーマット[1][2]に準拠した形に整形し、元データに関連した参加機関側の機器が特定され難いよう、ランダム化 |
したファイル。 | 翌日1回のみ |
DETECTION-SUMMARY-X_yyyyMMdd.txt |
---|
検出サマリファイル。 NII-SOCSの検知システムで検知した警報(PaloaltoのThreat ID/Cisco FirepowerのGID_SID_REV)と括弧書きでセッションごとの検知回数を表記。 | |
AUDITDATA-SNORT-X_yyyyMMdd.txt |
---|
Snort事後検証ファイル。 SnortのGID-SID-REV、および、1セッションで2回以上の検知があった場合はその回数を括弧書きで表記。 | 翌日~50日後まで1週間おき |
ZERODAY-SNORT-X_yyyyMMdd.txt |
---|
Snortゼロデイファイル。 ベンチマーク全体で初めて検知した検知ルール:GID-SID-REV 0 翌日の検査では未検知かつ2または5週目に検知した検知ルール:GID-SID-REV 1 5週目の検査までは未検知かつ6週目以降の検査で検知ルール:GID-SID-REV 2 と表記。(無償版snortでは検知ルールの提供が30日程度遅れることがあるため。) | 該当レコードがあれば更新 | |
ZERODAY_COUNT-SNORT-X_yyyyMMdd.txt | Snort件数ファイル。 ベンチマーク全体で初めて検知した件数(snort_new)、翌日の検査では未検知かつ2または5週目の検査で検知した件数(snort_2_5)、5週目の検査までは未検知かつ6週目以降の検査で検知した件数(snort_6_8)を表記。 | 該当レコードがあれば更新 |
---|---|---|
AUDITDATA-CLAMAV-X_yyyyMMdd.txt | ClamAVの事後検証ファイル。 ClamAVで検知したマルウェアの名称、および、1セッションで2回以上の検知があった場合はその回数を括弧書きで表記。 | 翌日~50日後まで1週間おき |
ZERODAY-CLAMAV-X_yyyyMMdd.txt | ClamAVゼロデイファイル。 ベンチマーク全体で初めて検知したマルウェア:マルウェア名称 0 翌日の検査では未検知かつ2週目以降に検知したマルウェア:マルウェア名称 1 | 該当レコードがあれば更新 |
ZERODAY_COUNT-CLAMAV-X_yyyyMMdd.txt | ClamAV件数ファイル。 ベンチマーク全体で初めて検知した件数(ClamAV_new)、翌日の検査では未検知かつ2週目以降の検査で検知した件数(ClamAV_2_8)を表記。 | 該当レコードがあれば更新 |
AUDITDATA-SHELLCODE-X_yyyyMMdd.txt | Shellcode |
事後検証ファイル。ShellocdeのID、および、1セッションで2回以上の検知があった場合はその回数を括弧書きで表記。 | 翌日1回のみ |
※ X:元データを取得した拠点のコード yyyyMMdd:元データの通信日※ X:元データを取得した拠点のコード yyyyMMdd:元データの通信日
更新時系列について
通信データ(KYOTODATA-X_yyyyMMdd.txt)と、その通信を各種検知システムで検証した結果ファイルを1セットとして提供します。
Shellcodeは検知後1回のみ、ClamAVとSnortは、通信日から50日後まで1週間おきに繰り返し検証を行い、検知結果を経過も含めて提供します。
kyoto_data
アンカー | ||||
---|---|---|---|---|
|
- 毎日、以下の条件でトラフィックデータを抽出(pcapファイルの生成)
- 参加機関のIPアドレス領域から/24(IPv4)または/64(IPv6)のブロックをランダムに複数選択。(IPv4、IPv6ともに10ブロック程度、このセットを7日間使用する。)
- 00時00分00秒から23時00分00秒の間からランダムに30分間の枠を二つ選択。
- 観測対象時刻のトラフィックデータのタイムスタンプを当該日の0時0分0秒から0時29分59秒と12時0分0秒から12時29分59秒に振り直す。
- 送信元IPアドレス/受信先IPアドレスをIPv6形式のランダムなIPアドレス領域に振り直す。
- IPv4は/24、IPv6は/32の範囲内のIPアドレスの連続性を維持する。
- ランダム化処理に使用するseedは定期的に変更する。
- ポート番号についてはwell-known port(1024未満)はそのままとし、それ以外をランダムな値に振り直す。
- ランダム化処理に使用するseedは7日おきに変更する。
更新時系列について
通信データ(KYOTODATA-X_yyyyMMdd.txt)と、その通信を各種検知システムで検証した結果ファイルを1セットとして提供します。
Shellcodeは検知後1回のみ、ClamAVとSnortは、通信日から50日後まで1週間おきに繰り返し検証を行い、検知結果を経過も含めて提供します。
...
アンカー kyoto_data kyoto_data
kyoto_data
kyoto_data | |
kyoto_data |
KYOTODATA-X_yyyyMMdd.txt
項目の説明
Session ID | セッションID |
---|---|
Duration | セッションの継続時間 |
Service | サービスの種類 |
Source_Bytes | 送信バイト数 |
Destionation_Bytes | 受信バイト数 |
Count | 過去2 秒間のセッションのうち現在のセッションと宛先IPアドレスが同じ数 |
Same_srv_rate | Count特徴で該当したセッションのうち現在のセッションとサービスの種類が同じ割合 |
Serror_rate | Count特徴で該当したセッションのうちSYNエラーが起こった割合 |
Srv_serror_rate | 過去2 秒間のセッションで現在のセッションとサービス種類が同じセッションのうち,”SYN |
Session ID | セッションID |
Duration | セッションの継続時間 |
Service | サービスの種類 |
Source_Bytes | 送信バイト数 |
Destionation_Bytes | 受信バイト数 |
Count | 過去2 秒間のセッションのうち現在のセッションと宛先IPアドレスが同じ数 |
Same_srv_rate | Count特徴で該当したセッションのうち現在のセッションとサービスの種類が同じ割合 |
Serror_rate | Count特徴で該当したセッションのうちSYNエラーが起こった割合 |
Srv_serror_rate | 過去2 秒間のセッションで現在のセッションとサービス種類が同じセッションのうち,”SYN"エラーが起こった割合 |
Dst_host_count | 宛先ポートが同じ過去の100 セッションのうち,現在のセッションと送信元IP アドレスと宛先IP アドレスが同じ数 |
Dst_host_srv_count | 宛先ポートが同じ過去の100 セッションのうち,現在のセッションと宛先IP アドレスとサービス種類が同じ数 |
Dst_host_same_src_port_rate | Dst_host_count特徴で該当したセッションのうち現在のセッションと送信元ポートが同じ割合: |
Dst_host_serror_rate | Dst_host_count特徴で該当したセッションのうち”SYN"エラーが起こった割合 |
Dst_host_count | 宛先ポートが同じ過去の100 セッションのうち,現在のセッションと送信元IP アドレスと宛先IP アドレスが同じ数 srv_serror_rate |
Dst_host_srv_ | count特徴で該当したセッションのうち”SYN"エラーが起こった割合|
Flag | セッション終了時の接続の状態 |
Source_IP_Address | 送信元IPアドレス※ランダム化処理済 |
Source_Port_Number | 送信元ポート番号 ※well-known port(1024未満)はそのままとし、それ以外はランダム化処理済 |
Destination_IP_Address | 宛先IPアドレス ※ランダム化処理済 |
Destination_Port_Number | 宛先ポート番号 ※well-known port(1024未満)はそのままとし、それ以外はランダム化処理済 |
Start_Time | セッション開始時刻 ※開始時間変更済 |
Protocol | プロトコル種別 |
Session ID
Durationcount | 宛先ポートが同じ過去の100 セッションのうち,現在のセッションと宛先IP アドレスとサービス種類が同じ数 |
---|---|
Dst_host_same_src_port_rate | Dst_host_count特徴で該当したセッションのうち現在のセッションと送信元ポートが同じ割合: |
Dst_host_serror_rate | Dst_host_count特徴で該当したセッションのうち”SYN"エラーが起こった割合 |
Dst_host_srv |
Source_Bytes
Destionation_Bytes
Count
Same_srv_rate
Serror_rate
Srv
_serror_rate | Dst_host_ |
---|
Dst_host_srv_count
Dst_host_same_src_port_rate
Flag
srv_count特徴で該当したセッションのうち”SYN"エラーが起こった割合 | |
Flag | セッション終了時の接続の状態 |
---|
Source_IP_Address |
---|
送信元IPアドレス※ランダム化処理済 | |
Source_Port_Number | 送信元ポート番号 ※well-known port( |
---|
1024未満)はそのままとし、それ以外はランダム化処理済 |
Destination_IP_Address |
---|
宛先IPアドレス ※ランダム化処理済 | |
Destination_Port_Number | 宛先ポート番号 ※well-known port( |
---|
1024未満)はそのままとし、それ以外はランダム化処理済 |
Start_Time |
---|
セッション開始時刻 ※開始時間変更済 |
Protocol |
---|
プロトコル種別 |
データ例
Session ID | 0Duration | 0Service | Source_Bytes | Destionation_Bytes | Count | Same_srv_rate | Serror_rate | Srv_serror_rate | Dst_host_count | Dst_host_srv_count | Dst_host_same_src_port_rate | Dst_host_serror_rate | Dst_host_srv_serror_rate | Flag | Source_IP_Address (ランダム化済) | Source_Port_Number (1024以上のポートをランダム化済) | Destination_IP_Address (ランダム化済) | Destination_Port_Number (1024以上のポートをランダム化済) | Start_Time | Protocol | ||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
18922621717 | 0 | - | 0 | 0 | 0 | 0 | 0.980403 | 0 | 0 | 0 | 0 | 0 | S0 | 0:0:0:7efe:23d9:fefe:a00:e2d4 | 36807 | 0:0:0:cf00:23e8:7171:1008:e1e8 | 62761 | 2020/3/1 12:00:00.00246 | udp | 18922621718 | 0 | - | 0 | 0 | 0 | 0 | 0 | 0.980403 | 0 | 0 | 0 | 0 | 0 | S0 | 0:0:0:807efe:2de723d9:fe88fefe:9d88a00:fe32e2d4 | 6263336807 | 0:0:0:f01cf00:e3e723e8:b6f17171:86ff1008:15ce1e8 | 2362761 | 2020/3/1 12:00:00.0025100246 | tcpudp |
18922621718 | 0 | - | 0 | 0 | 0 | 0 | 0 | 0.980403 | 0 | 0 | 0 | 0 | 0 | S0 | 0:0:0:410080:12262de7:3902fe88:93cf9d88:fdbdfe32 | 1539462633 | 0:0:0:f082f01:33d9e3e7:c900b6f1:e68786ff:fdd315c | 1362323 | 2020/3/1 12:00:00.0031400251 | tcp | ||||||||||||||||||||
18922621719 | 0 | - | 0 | 0 | 0 | 0 | 0 | 0.980402980403 | 0 | 0 | 0 | 0 | 0 | S0 | 0:0:0:e834100:ece71226:86053902:1c3093cf:e134fdbd | 639315394 | 0:0:0:ff7ef082:332933d9:c68fc900:9b0e687:e1b7fdd3 | 232313623 | 2020/3/1 12:00:00.0034200314 | tcp | ||||||||||||||||||||
18922621720 | 0 | - | 0 | 0 | 101 | 0 | 10 | 0.980402 | 0 | 0 | 0 | 0 | 0 | S0 | 0:0:0:cf7fe83:ec27ece7:c1fd8605:91b01c30:fdd8e134 | 229386393 | 0:0:0:bf7cff7e:23d83329:179c68f:e9b79b0:e15be1b7 | 252323 | 2020/3/1 12:00:00.0038000342 | tcp | ||||||||||||||||||||
18922621721 | 0 | - | 0 | 00 | 1 | 010 | 1 | 0.980402 | 0 | 0 | 0 | 0 | 0 | S0 | 0:0:0:cf03cf7f:dd27ec27:be8bc1fd:8f7791b0:106fdd8 | 5885422938 | 0:0:0:3f02bf7c:2d623d8:3e03179:e400e9b7:1e27e15b | 775025 | 2020/3/1 12:00:00.0043400380 | tcp | ||||||||||||||||||||
18922621722 | 0 | - | 0 | 0 | 0 | 0 | 0 | 0.980419980402 | 0 | 0 | 0 | 0 | 0 | S0 | 0:0:0:f080cf03:319dd27:89f9be8b:b878f77:fe3f106 | 3179458854 | 0:0:0:30fd3f02:c3e62d6:3e093e03:13f7e400:1dd1e27 | 56967750 | 2020/3/1 12:00:00.0038000434 | tcp | ||||||||||||||||||||
18922621723 | 0 | - | 0 | 0 | 0 | 0 | 0 | 0.980436980419 | 0 | 0 | 0 | 0 | 0 | S0 | 0:0:0:cf7ff080:ec27319:c1fd89f9:91b0b87:fdd8fe3f | 2293831794 | 0:0:0:8e8130fd:e217c3e6:f68a3e09:68c713f7:e1e21dd | 559935696 | 2020/3/1 12:00:00.0043400380 | tcp | ||||||||||||||||||||
18922621724 | 0 | - | 0 | 0 | 0 | 0 | 0 | 0.980436 | 0 | 0 | 0 | 0 | 0 | S0 | 0:0:0:4100cf7f:1226ec27:3902c1fd:93cf91b0:fdbdfdd8 | 1539422938 | 0:0:0:ce818e81:f2e8e217:6f6f68a:6a0768c7:fd01e1e2 | 5353755993 | 2020/3/1 12:00:00.0045700434 | tcp | ||||||||||||||||||||
18922621725 | 0 | - | 0 | 0 | 0 | 0 | 0 | 0.980437980436 | 0 | 0 | 0 | 0 | 0 | S0 | 0:0:0:ceff4100:f2181226:1fa3902:dc793cf:fe04fdbd | 4717215394 | 0:0:0:e83ce81:fdd9f2e8:860c6f6:e5776a07:117fd01 | 480053537 | 2020/3/1 12:00:00.0048000457 | udptcp | ||||||||||||||||||||
18922621726 | 0 | - | 0 | 0 | 0 | 0 | 0 | 0.980436980437 | 0 | 0 | 0 | 0 | 0 | S0 | 0:0:0:4100ceff:1226f218:39021fa:93cfdc7:fdbdfe04 | 1539447172 | 0:0:0:cf01e83:dce9fdd9:c182860c:fd4fe577:1dfa117 | 254800 | 2020/3/1 12:00:00.0063400480 | tcpudp | ||||||||||||||||||||
18922621727 | 0 | - | 0 | 0 | 0 | 0 | 0 | 0.980437980436 | 0 | 0 | 0 | 0 | 0 | S0 | 0:0:0:7efe4100:23d91226:fefe3902:a0093cf:e2d4fdbd | 5733215394 | 0:0:0:c101cf01:e218dce9:4981c182:92c0fd4f:2241dfa | 6276125 | 2020/3/1 12:00:00.0064800634 | udptcp | ||||||||||||||||||||
18922621728 | 0 | - | 0 | 0 | 0 | 0 | 0 | 0.980435980437 | 0 | 0 | 0 | 0 | 0 | S0 | 0:0:0:cf7f7efe:ec2723d9:c1fdfefe:91b0a00:fdd8e2d4 | 2293857332 | 0:0:0:fefec101:1c26e218:767f4981:1db792c0:1f5224 | 2362761 | 2020/3/1 12:00:00.0065900648 | tcpudp | ||||||||||||||||||||
18922621729 | 0 | - | 0 | 0 | 0 | 0 | 0 | 0.980436980435 | 0 | 0 | 0 | 0 | 0 | S0 | 0:0:0:cf7f:d228ec27:6f9c1fd:9bf091b0:1e62fdd8 | 3439122938 | 0:0:0:3f03fefe:f2e91c26:b9ff767f:a481db7:e2cc1f5 | 8823 | 2020/3/1 12:00:00.0078300659 | tcp | ||||||||||||||||||||
18922621730 | 0 | - | 0 | 0 | 0 | 0 | 0 | 0.980436 | 0 | 0 | 0 | 0 | 0 | S0 | 0:0:0:ceffcf7f:f218d228:1fa6f9:dc79bf0:fe041e62 | 654034391 | 0:0:0:3e803f03:2dd7f2e9:c10cb9ff:9c07a48:1e42e2cc | 2624588 | 2020/3/1 12:00:00.0083200783 | udptcp | ||||||||||||||||||||
18922621731 | 0 | - | 0 | 0 | 0 | 0 | 0 | 0.980435980436 | 0 | 0 | 0 | 0 | 0 | S0 | 0:0:0:cf03ceff:dd27f218:be8b1fa:8f77dc7:106fe04 | 588546540 | 0:0:0:feff3e80:ede92dd7:be02c10c:f5cf9c07:1db51e42 | 2526245 | 2020/3/1 12:00:00.0084200832 | tcpudp | ||||||||||||||||||||
18922621732 | 0 | - | 0 | 0 | 0 | 0 | 0 | 0.980453980435 | 0 | 0 | 0 | 0 | 0 | S0 | 0:0:0:7efecf03:23d9dd27:fefebe8b:a008f77:e2d4106 | 3881758854 | 0:0:0:7100feff:2316ede9:390cbe02:6e38f5cf:1e671db5 | 6276125 | 2020/3/1 12:00:00.0090100842 | udptcp | ||||||||||||||||||||
18922621733 | 0 | - | 0 | 0 | 0 | 0 | 0 | 0.980453 | 0 | 0 | 0 | 0 | 0 | S0 | 0:0:0:f0fd7efe:fc1723d9:b101fefe:7bc7a00:fe63e2d4 | 6105938817 | 0:0:0:efc7100:d262316:988390c:84086e38:1d221e67 | 3525562761 | 2020/3/1 12:00:00.0092400901 | tcpudp | ||||||||||||||||||||
18922621734 | 0 | - | 0 | 0 | 0 | 0 | 0 | 0.980453 | 0 | 0 | 0 | 0 | 0 | S0 | 0:0:0:417ff0fd:d2e8fc17:909b101:87807bc7:2ccfe63 | 1853161059 | 0:0:0:f080efc:2318d26:4686988:6c788408:1ea51d22 | 3035435255 | 2020/3/1 12:00:00.0100200924 | tcp | ||||||||||||||||||||
18922621735 | 3.0024220 | - | 0 | 0 | 600 | 101 | 0 | 0.980453 | 0 | 930 | 0 | 0 | 10 | S0 | 0:0:0:70fe417f:de9d2e8:86f4909:6bf08780:e2432cc | 2161718531 | 0:0:0:b17df080:fd162318:3e874686:e6c86c78:e1a11ea5 | 534030354 | 2020/3/1 12:00:00.0101301002 | tcp | ||||||||||||||||||||
18922621736 | 3.002422 |
DETECTION-SUMMARY-X_yyyyMMdd.txt
...
snort
AUDITDATA-SNORT-X_yyyyMMdd.txt
...
ZERODAY-SNORT-X_yyyyMMdd.txt
...
ClamAV
AUDITDATA-CLAMAV-X_yyyyMMdd.txt
...
- | 0 | 0 | 60 | 1 | 1 | 0.980453 | 0 | 93 | 0 | 0 | 1 | S0 | 0:0:0:70fe:de9:86f4:6bf0:e243 | 21617 | 0:0:0:b17d:fd16:3e87:e6c8:e1a1 | 5340 | 2020/3/1 12:00:00.01013 | tcp |
...
アンカー DETECTION-SUMMARY DETECTION-SUMMARY
検出サマリ
DETECTION-SUMMARY | |
DETECTION-SUMMARY |
DETECTION-SUMMARY-X_yyyyMMdd.txt
項目の説明
Session ID | 検証結果 |
---|---|
セッションID セッションの詳細はkyoto_dataをご確認下さい。 | NII-SOCSの検知システムで検知した警報。 PaloaltoのThreat ID / Cisco FirepowerのGID_SID_REV) と括弧書きでセッションごとの検知回数を表記。 |
データ例
Session ID | 検証結果 |
---|---|
18922621726 | 58483(1) |
18922621734 | 1_54794_2(1),58706(1) |
...
アンカー Snort Snort
Snort
Snort | |
Snort |
無償版IDSであるsnortを用いた検知結果
アンカー AUDITDATA-SNORT AUDITDATA-SNORT
AUDITDATA-SNORT-X_yyyyMMdd.txt
AUDITDATA-SNORT | |
AUDITDATA-SNORT |
項目の説明
Session ID | 1日後 | 2週目(8日後) | … |
---|---|---|---|
セッションID セッションの詳細はkyoto_dataをご確認下さい。 | セッションの1日後にSnortで検証した結果。 SnortのGID-SID-REV、および、1セッションで2回以上の検知があった場合はその回数を括弧書きで表記。 | セッションの8日後にSnortで検証した結果。 | セッションのn日後にSnortで検証した結果。 |
データ例
Session ID \ 検証 | 1日後 | 2週目(8日後) | 3週目(15日後) | 4週目(22日後) | 5週目(29日後) | 6週目(36日後) | 7週目(43日後) | 8週目(50日後) |
---|---|---|---|---|---|---|---|---|
18922621720 | 1-31136-2,1-23493-6 | 1-31136-2,1-23493-6 | 1-31136-2,1-23493-6 | 1-31136-2,1-23493-6 | 1-31136-2,1-23493-6 | 1-31136-2,1-23493-6 | 1-31136-2,1-23493-6 | 1-31136-2,1-23493-6 |
18922621726 | 1-42016-2 | 1-42016-2 | 1-42016-2 | 1-42016-2 | 1-42016-2 | 1-42016-2 | 1-42016-2 | 1-42016-2 |
18922621734 | 129-12-1(2) | 129-12-1(2) | 129-12-1(2) | 129-12-1(2) | 129-12-1(2) | 129-12-1(2) | 129-12-1(2) | 129-12-1(2) |
アンカー ZERODAY-SNORT ZERODAY-SNORT
ZERODAY-SNORT-X_yyyyMMdd.txt
ZERODAY-SNORT | |
ZERODAY-SNORT |
項目の説明
合致したルール名 | フラグ情報 |
---|---|
GID-SID-REV | ベンチマーク全体で初めて検知した検知ルール:0 翌日の検査では未検知かつ2または5週目に検知した検知ルール:1 5週目の検査までは未検知かつ6週目以降の検査で検知ルール: 2 |
データ例
合致したルール名 | フラグ情報 |
---|---|
1-42016-1 | 0 |
1-53026-1 | 1 |
1-79018-1 | 2 |
アンカー ZERODAY_COUNT-SNORT ZERODAY_COUNT-SNORT
ZERODAY_COUNT-SNORT-X_yyyyMMdd.txt
ZERODAY_COUNT-SNORT | |
ZERODAY_COUNT-SNORT |
項目の説明
snort_new | ベンチマーク全体で初めて検知した件数 |
---|---|
snort_2_5 | 翌日の検査では未検知かつ2〜5週目の検査で検知した件数 |
snort_6_8 | 5週目の検査までは未検知かつ6週目以降の検査で検知した件数 NII-SOCSではsnortの無償版を利用している。 Snortの無償版は、有償版よりルールセットの提供が30日遅れる(Snort>Snort FAQ>What are the differences in the rule sets? )ため、6週目で検知できず、7週目以降に検知できた場合は、有償版でも当初は検知できなかったセロデイ攻撃とみなすことができる。 |
データ例
件数 | |
---|---|
snort_new | 0 |
snort_2_5 | 0 |
snort_6_8 | 0 |
...
アンカー ClamAV ClamAV
ClamAV
ClamAV | |
ClamAV |
無償版アンチウィルスであるClamAVを用いた検知結果
アンカー AUDITDATA-CLAMAV AUDITDATA-CLAMAV
AUDITDATA-CLAMAV-X_yyyyMMdd.txt
AUDITDATA-CLAMAV | |
AUDITDATA-CLAMAV |
項目の説明
Session ID | 1日後 | 2週目(8日後) | … |
---|---|---|---|
セッションID セッションの詳細はkyoto_dataをご確認下さい。 | セッションの1日後にClamAVで検証した結果。 ClamAVで検知したマルウェアの名称、および、1セッションで2回以上の検知があった場合はその回数を括弧書きで表記。 | セッションの8日後にClamAVで検証した結果。 | セッションのn日後にClamAVで検証した結果。 |
データ例
Session ID \ 検証 | 1日後 | 2週目(8日後) | 3週目(15日後) | 4週目(22日後) | 5週目(29日後) | 6週目(36日後) | 7週目(43日後) | 8週目(50日後) |
---|---|---|---|---|---|---|---|---|
18922621721 | Email.Exploit.Efail-6543463-0(2) | Email.Exploit.Efail-6543463-0(2) | Email.Exploit.Efail-6543463-0(2) | Email.Exploit.Efail-6543463-0(2) | Email.Exploit.Efail-6543463-0(2) | Email.Exploit.Efail-6543463-0(2) | Email.Exploit.Efail-6543463-0(2) | Email.Exploit.Efail-6543463-0(2) |
18922621727 | Email.Exploit.Efail-6543463-0 | Email.Exploit.Efail-6543463-0 | Email.Exploit.Efail-6543463-0 | Email.Exploit.Efail-6543463-0 | Email.Exploit.Efail-6543463-0 | Email.Exploit.Efail-6543463-0 | Email.Exploit.Efail-6543463-0 | Email.Exploit.Efail-6543463-0 |
18922621732 | - | - | Win.Trojan.Hide-1 | Win.Trojan.Hide-1 | Win.Trojan.Hide-1 | Win.Trojan.Hide-1 | Win.Trojan.Hide-1 | Win.Trojan.Hide-1 |
アンカー ZERODAY-CLAMAV ZERODAY-CLAMAV
ZERODAY-CLAMAV-X_yyyyMMdd.txt
ZERODAY-CLAMAV | |
ZERODAY-CLAMAV |
項目の説明
マルウェア名 | フラグ情報 |
---|---|
合致したマルウェアの名称 | ベンチマーク全体で初めて検知したマルウェア:マルウェア名称 0 翌日の検査では未検知かつ2週目以降に検知したマルウェア:マルウェア名称 1 |
データ例
マルウェア名 | フラグ情報 |
---|---|
Doc.Dropper.EmotetUpdate1020-9778523-0 | 0 |
アンカー ZERODAY_COUNT-CLAMAV ZERODAY_COUNT-CLAMAV
ZERODAY_COUNT-CLAMAV-X_yyyyMMdd.txt
ZERODAY_COUNT-CLAMAV | |
ZERODAY_COUNT-CLAMAV |
項目の説明
ClamAV_new | ベンチマーク全体で初めて検知した件数 |
---|---|
ClamAV_2_8 | 翌日の検査では未検知かつ2週目以降の検査で検知した件数 初回で検知できず2週目以降に検知できた場合は、当初は検知できなかったセロデイ攻撃とみなすことができる。 |
データ例
件数 | |
---|---|
ClamAV_new | 0 |
ClamAV_2_8 | 1 |
...
アンカー Shellcode Shellcode
Shellcode
Shellcode | |
Shellcode |
外部権限取得(remote exploit)プログラム[3]の有無判定の検知結果
AUDITDATA-SHELLCODE-X_yyyyMMdd.txt
項目の説明
Session ID | ShellcodeID |
---|---|
セッションID セッションの詳細はkyoto_dataをご確認下さい。 | セッションの1日後にShellcodeで検証した結果。 ShellcodeのID(確認順に採番) |
データ例
Session ID | ShellcodeID |
---|---|
18922621718 | 11 |
18922621729 | 12 |
...
アンカー マルウェア情報 マルウェア情報
マルウェア情報
マルウェア情報 | |
マルウェア情報 |
NII-SOCSで観測したマルウェア検体、および、その検体のNII-SOCSのサンドボックスの解析結果。
提供するマルウェア情報の選定条件は以下のものとなります。
- exe、dll、dmg、apk、javascript、swfなどからなる実行形式ファイル (※pdf, office系など文書系ファイルは提供しない)
- 5機関以上の通信で検知があったもの
マルウェア情報は、以下のファイルで構成されます
フォルダ名 | 説明 |
---|---|
malware/ | マルウェアファイル(検体)。 マルウェアファイルをパスワード付zip形式で圧縮したファイルです。解凍時のパスワードはreadme内にあります。 |
analysis/ | マルウェアファイル挙動解析ファイル。 挙動解析結果ファイルをzip形式で圧縮したファイルです。 |
readme/ | Shellcode事後検証ファイル。 |
※ 最上位フォルダの名前は該当マルウェアのハッシュ値となっています
...
[1] Jungsuk Song, Hiroki Takakura and Yasuo Okabe, “Cooperation of Intelligent Honeypots to Detect Unknown Malicious Codes,” WOMBAT Workshop on Information Security Threat Data Exchange (WISTDE 2008), Amsterdam, Netherlands, 21-22 April 2008.
アンカー
ref_01 ref_01 [2] 多田竜之介, 小林良太郎, 嶋田創, 高倉弘喜, NIDS評価用データセット: Kyoto 2016 Datasetの作成, 情報処理学会論文誌, Vol.58, No.9, pp.1450-1463, 2017年9月.
アンカー
ref_02 ref_02 [3] 野川裕記, 足立史宜, 辻野泰充, 守屋誠司, 齋藤和典, エクスプロイトコードの中のシェルコード検知 : 構造分析に基づいた検知手法, 電子情報通信学会技術研究報告. IA, インターネットアーキテクチャ 109(85), pp.7-12, 2009年6月.
アンカー
ref_03 ref_03
ZERODAY-CLAMAV-X_yyyyMMdd.txt
...
ZERODAY_COUNT-CLAMAV-X_yyyyMMdd.txt
...
Shellcode
...
マルウェア情報
マルウェア情報は、以下のファイルで構成されます
...
マルウェアファイル(検体)。
マルウェアファイルをパスワード付zip形式で圧縮したファイルです。解凍時のパスワードはreadme内にあります。
...
マルウェアファイル挙動解析ファイル。
挙動解析結果ファイルをzip形式で圧縮したファイルです。
...