NII-SOCS_DataForResearchers

スペース ショートカット

ページ ツリー

比較バージョン

古いバージョン 25

changes.mady.by.user m_seki@nii.ac.jp

保存しました

次と比較

新しいバージョン 現在

changes.mady.by.user m_seki@nii.ac.jp

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。

ベンチマークデータとマルウェア情報の2種類を用意しております。

目次

...

アンカー
ベンチマークデータ
ベンチマークデータ
ベンチマークデータ

NII-SOCS参加機関のトラフィックデータの一部を抽出してランダム化したベンチマークと、NII-SOCS攻撃検知システムの警報データのセット。

トラフィックデータは、通信の内容であるペイロードを含まないKyotoData2016フォーマット[1][2]に準拠した形に整形されております。


  ベンチマークデータは、以下のファイルで構成されますベンチマークデータは、以下のファイルで構成されます

ファイル名説明更新
KYOTODATA-X_yyyyMMdd.txt

ベンチマークデータ本体。通信の内容であるペイロードを含まないKyotoData2016フォーマット[1][2]に準拠した形に整形し、元データに関連した参加機関側の機器が特定され難いよう、ランダム化

したファイル

したファイル。

翌日1回のみ
DETECTION-SUMMARY-X_yyyyMMdd.txt
検出サマリファイル

検出サマリファイル。

NII-SOCSの検知システムで検知した警報(PaloaltoのThreat ID/Cisco FirepowerのGID_SID_REV)と括弧書きでセッションごとの検知回数を表記。


AUDITDATA-SNORT-X_yyyyMMdd.txt
Snort事後検証ファイル

Snort事後検証ファイル。

SnortのGID-SID-REV、および、1セッションで2回以上の検知があった場合はその回数を括弧書きで表記。

翌日~50日後まで1週間おき
ZERODAY-SNORT-X_yyyyMMdd.txt
Snortゼロデイファイル

Snortゼロデイファイル。

ベンチマーク全体で初めて検知した検知ルール:GID-SID-REV 0

翌日の検査では未検知かつ2または5週目に検知した検知ルール:GID-SID-REV 1

5週目の検査までは未検知かつ6週目以降の検査で検知ルール:GID-SID-REV 2

と表記。(無償版snortでは検知ルールの提供が30日程度遅れることがあるため。)

該当レコードがあれば更新
ZERODAY_COUNT-SNORT-X_yyyyMMdd.txt

Snort件数ファイル。

ベンチマーク全体で初めて検知した件数(snort_new)、翌日の検査では未検知かつ2または5週目の検査で検知した件数(snort_2_5)、5週目の検査までは未検知かつ6週目以降の検査で検知した件数(snort_6_8)を表記。

該当レコードがあれば更新
AUDITDATA-CLAMAV-X_yyyyMMdd.txt

ClamAVの事後検証ファイル。

ClamAVで検知したマルウェアの名称、および、1セッションで2回以上の検知があった場合はその回数を括弧書きで表記。

翌日~50日後まで1週間おき
ZERODAY-CLAMAV-X_yyyyMMdd.txt

ClamAVゼロデイファイル。

ベンチマーク全体で初めて検知したマルウェア:マルウェア名称 0

翌日の検査では未検知かつ2週目以降に検知したマルウェア:マルウェア名称 1

該当レコードがあれば更新
ZERODAY_COUNT-CLAMAV-X_yyyyMMdd.txt

ClamAV件数ファイル。

ベンチマーク全体で初めて検知した件数(ClamAV_new)、翌日の検査では未検知かつ2週目以降の検査で検知した件数(ClamAV_2_8)を表記。

該当レコードがあれば更新
AUDITDATA-SHELLCODE-X_yyyyMMdd.txtShellcode
事後検証ファイル。
事後検証ファイル。ShellocdeのID、および、1セッションで2回以上の検知があった場合はその回数を括弧書きで表記。翌日1回のみ

※ X:元データを取得した拠点のコード yyyyMMdd:元データの通信日※ X:元データを取得した拠点のコード yyyyMMdd:元データの通信日

更新時系列について

通信データ(KYOTODATA-X_yyyyMMdd.txt)と、その通信を各種検知システムで検証した結果ファイルを1セットとして提供します。

Shellcodeは検知後1回のみ、ClamAVとSnortは、通信日から50日後まで1週間おきに繰り返し検証を行い、検知結果を経過も含めて提供します。

Image Removed

kyoto_data

項目の説明

アンカー
ランダム化処理方法
ランダム化処理方法
ランダム化処理方法

  1. 毎日、以下の条件でトラフィックデータを抽出(pcapファイルの生成)
    1. 参加機関のIPアドレス領域から/24(IPv4)または/64(IPv6)のブロックをランダムに複数選択。(IPv4、IPv6ともに10ブロック程度、このセットを7日間使用する。)
    2. 00時00分00秒から23時00分00秒の間からランダムに30分間の枠を二つ選択。
  2. 観測対象時刻のトラフィックデータのタイムスタンプを当該日の0時0分0秒から0時29分59秒と12時0分0秒から12時29分59秒に振り直す。
  3. 送信元IPアドレス/受信先IPアドレスをIPv6形式のランダムなIPアドレス領域に振り直す。
    1. IPv4は/24、IPv6は/32の範囲内のIPアドレスの連続性を維持する。
    2. ランダム化処理に使用するseedは定期的に変更する。
  4. ポート番号についてはwell-known port(1024未満)はそのままとし、それ以外をランダムな値に振り直す。
    1. ランダム化処理に使用するseedは7日おきに変更する。

  5. 他はKyotoData2016[1][2]に準拠した統計データとし、ペイロードやDNS名は含まない。

更新時系列について

通信データ(KYOTODATA-X_yyyyMMdd.txt)と、その通信を各種検知システムで検証した結果ファイルを1セットとして提供します。

Shellcodeは検知後1回のみ、ClamAVとSnortは、通信日から50日後まで1週間おきに繰り返し検証を行い、検知結果を経過も含めて提供します。

Image Added

...

アンカー
kyoto_data
kyoto_data
kyoto_data

KYOTODATA-X_yyyyMMdd.txt

項目の説明

count特徴で該当したセッションのうち”SYN"エラーが起こった割合
Session IDセッションID
Durationセッションの継続時間
Serviceサービスの種類
Source_Bytes送信バイト数
Destionation_Bytes受信バイト数
Count過去2 秒間のセッションのうち現在のセッションと宛先IPアドレスが同じ数
Same_srv_rateCount特徴で該当したセッションのうち現在のセッションとサービスの種類が同じ割合
Serror_rateCount特徴で該当したセッションのうちSYNエラーが起こった割合
Srv_serror_rate過去2 秒間のセッションで現在のセッションとサービス種類が同じセッションのうち,”SYN
Session IDセッションID
Durationセッションの継続時間
Serviceサービスの種類
Source_Bytes送信バイト数
Destionation_Bytes受信バイト数
Count過去2 秒間のセッションのうち現在のセッションと宛先IPアドレスが同じ数
Same_srv_rateCount特徴で該当したセッションのうち現在のセッションとサービスの種類が同じ割合
Serror_rateCount特徴で該当したセッションのうちSYNエラーが起こった割合
Srv_serror_rate過去2 秒間のセッションで現在のセッションとサービス種類が同じセッションのうち,”SYN"エラーが起こった割合
Dst_host_count宛先ポートが同じ過去の100 セッションのうち,現在のセッションと送信元IP アドレスと宛先IP アドレスが同じ数 
Dst_host_srv_count宛先ポートが同じ過去の100 セッションのうち,現在のセッションと宛先IP アドレスとサービス種類が同じ数
Dst_host_same_src_port_rateDst_host_count特徴で該当したセッションのうち現在のセッションと送信元ポートが同じ割合:
Dst_host_serror_rateDst_host_count特徴で該当したセッションのうち”SYN"エラーが起こった割合
Dst_host_count宛先ポートが同じ過去の100 セッションのうち,現在のセッションと送信元IP アドレスと宛先IP アドレスが同じ数 srv_serror_rate
Dst_host_srv_
Flagセッション終了時の接続の状態
Source_IP_Address送信元IPアドレス※ランダム化処理済
Source_Port_Number送信元ポート番号 ※well-known port(1024未満)はそのままとし、それ以外はランダム化処理済
Destination_IP_Address宛先IPアドレス ※ランダム化処理済
Destination_Port_Number宛先ポート番号 well-known port(1024未満)はそのままとし、それ以外はランダム化処理済
Start_Timeセッション開始時刻 ※開始時間変更済
Protocolプロトコル種別

Session ID

Duration
count宛先ポートが同じ過去の100 セッションのうち,現在のセッションと宛先IP アドレスとサービス種類が同じ数
Dst_host_same_src_port_rateDst_host_count特徴で該当したセッションのうち現在のセッションと送信元ポートが同じ割合:
Dst_host_serror_rateDst_host_count特徴で該当したセッションのうち”SYN"エラーが起こった割合
Dst_host_srv
Service
Source_Bytes
Destionation_Bytes
Count
Same_srv_rate
Serror_rate
Srv
_serror_rateDst_host_
count
Dst_host_srv_count
Dst_host_same_src_port_rate
Dst_host_serror_rateDst_host_srv_serror_rate
Flag
srv_count特徴で該当したセッションのうち”SYN"エラーが起こった割合
Flagセッション終了時の接続の状態
Source_IP_Address
(ランダム化)
送信元IPアドレス※ランダム化処理済
Source_Port_Number送信元ポート番号 ※well-known port(
1024以上のポートをランダム化済
1024未満)はそのままとし、それ以外はランダム化処理済
Destination_IP_Address
(ランダム化済)
宛先IPアドレス ※ランダム化処理済
Destination_Port_Number宛先ポート番号 ※well-known port(
1024以上のポートをランダム化済
1024未満)はそのままとし、それ以外はランダム化処理済
Start_Time
(開始時刻変更済)
セッション開始時刻 ※開始時間変更済
Protocol
18922621717
プロトコル種別
0


データ例

-00189226217191892262172018922621721189226217221892262172318922621724189226217251892262172618922621727189226217281892262172918922621730189226217311892262173218922621733189226217341892262173518922621736

Session ID


Duration

Service

Source_Bytes

Destionation_Bytes

Count

Same_srv_rate

Serror_rate

Srv_serror_rate

Dst_host_count

Dst_host_srv_count

Dst_host_same_src_port_rate

Dst_host_serror_rateDst_host_srv_serror_rate

Flag

Source_IP_Address
(ランダム化済)		Source_Port_Number
(1024以上のポートをランダム化済)		Destination_IP_Address
(ランダム化済)		Destination_Port_Number
(1024以上のポートをランダム化済)

Start_Time
(開始時刻変更済)

Protocol
189226217170-00000.98040300000S00:0:0:7efe:23d9:fefe:a00:e2d4368070:0:0:cf00:23e8:7171:1008:e1e8627612020/3/1  12:00:00.00246udp189226217180-000000.98040300000S00:0:0:807efe:2de723d9:fe88fefe:9d88a00:fe32e2d462633368070:0:0:f01cf00:e3e723e8:b6f17171:86ff1008:15ce1e823627612020/3/1  12:00:00.0025100246tcpudp
189226217180-000000.98040300000S00:0:0:410080:12262de7:3902fe88:93cf9d88:fdbdfe3215394626330:0:0:f082f01:33d9e3e7:c900b6f1:e68786ff:fdd315c13623232020/3/1  12:00:00.0031400251tcp
189226217190-000000.98040298040300000S00:0:0:e834100:ece71226:86053902:1c3093cf:e134fdbd6393153940:0:0:ff7ef082:332933d9:c68fc900:9b0e687:e1b7fdd32323136232020/3/1  12:00:00.0034200314tcp
189226217200-001010100.98040200000S00:0:0:cf7fe83:ec27ece7:c1fd8605:91b01c30:fdd8e1342293863930:0:0:bf7cff7e:23d83329:179c68f:e9b79b0:e15be1b72523232020/3/1  12:00:00.0038000342tcp
189226217210-000101010.98040200000S00:0:0:cf03cf7f:dd27ec27:be8bc1fd:8f7791b0:106fdd858854229380:0:0:3f02bf7c:2d623d8:3e03179:e400e9b7:1e27e15b7750252020/3/1  12:00:00.0043400380tcp
189226217220-000000.98041998040200000S00:0:0:f080cf03:319dd27:89f9be8b:b878f77:fe3f10631794588540:0:0:30fd3f02:c3e62d6:3e093e03:13f7e400:1dd1e27569677502020/3/1  12:00:00.0038000434tcp
189226217230-000000.98043698041900000S00:0:0:cf7ff080:ec27319:c1fd89f9:91b0b87:fdd8fe3f22938317940:0:0:8e8130fd:e217c3e6:f68a3e09:68c713f7:e1e21dd5599356962020/3/1  12:00:00.0043400380tcp
189226217240-000000.98043600000S00:0:0:4100cf7f:1226ec27:3902c1fd:93cf91b0:fdbdfdd815394229380:0:0:ce818e81:f2e8e217:6f6f68a:6a0768c7:fd01e1e253537559932020/3/1  12:00:00.0045700434tcp
189226217250-000000.98043798043600000S00:0:0:ceff4100:f2181226:1fa3902:dc793cf:fe04fdbd47172153940:0:0:e83ce81:fdd9f2e8:860c6f6:e5776a07:117fd014800535372020/3/1  12:00:00.0048000457udptcp
189226217260-000000.98043698043700000S00:0:0:4100ceff:1226f218:39021fa:93cfdc7:fdbdfe0415394471720:0:0:cf01e83:dce9fdd9:c182860c:fd4fe577:1dfa1172548002020/3/1  12:00:00.0063400480tcpudp
189226217270-000000.98043798043600000S00:0:0:7efe4100:23d91226:fefe3902:a0093cf:e2d4fdbd57332153940:0:0:c101cf01:e218dce9:4981c182:92c0fd4f:2241dfa62761252020/3/1  12:00:00.0064800634udptcp
189226217280-000000.98043598043700000S00:0:0:cf7f7efe:ec2723d9:c1fdfefe:91b0a00:fdd8e2d422938573320:0:0:fefec101:1c26e218:767f4981:1db792c0:1f522423627612020/3/1  12:00:00.0065900648tcpudp
189226217290-000000.98043698043500000S00:0:0:cf7f:d228ec27:6f9c1fd:9bf091b0:1e62fdd834391229380:0:0:3f03fefe:f2e91c26:b9ff767f:a481db7:e2cc1f588232020/3/1  12:00:00.0078300659tcp
189226217300-000000.98043600000S00:0:0:ceffcf7f:f218d228:1fa6f9:dc79bf0:fe041e626540343910:0:0:3e803f03:2dd7f2e9:c10cb9ff:9c07a48:1e42e2cc26245882020/3/1  12:00:00.0083200783udptcp
189226217310-000000.98043598043600000S00:0:0:cf03ceff:dd27f218:be8b1fa:8f77dc7:106fe045885465400:0:0:feff3e80:ede92dd7:be02c10c:f5cf9c07:1db51e4225262452020/3/1  12:00:00.0084200832tcpudp
189226217320-000000.98045398043500000S00:0:0:7efecf03:23d9dd27:fefebe8b:a008f77:e2d410638817588540:0:0:7100feff:2316ede9:390cbe02:6e38f5cf:1e671db562761252020/3/1  12:00:00.0090100842udptcp
189226217330-000000.98045300000S00:0:0:f0fd7efe:fc1723d9:b101fefe:7bc7a00:fe63e2d461059388170:0:0:efc7100:d262316:988390c:84086e38:1d221e6735255627612020/3/1  12:00:00.0092400901tcpudp
189226217340-000000.98045300000S00:0:0:417ff0fd:d2e8fc17:909b101:87807bc7:2ccfe6318531610590:0:0:f080efc:2318d26:4686988:6c788408:1ea51d2230354352552020/3/1  12:00:00.0100200924tcp
189226217353.0024220-0060010100.98045309300010S00:0:0:70fe417f:de9d2e8:86f4909:6bf08780:e2432cc21617185310:0:0:b17df080:fd162318:3e874686:e6c86c78:e1a11ea55340303542020/3/1  12:00:00.0101301002tcp
189226217363.002422

DETECTION-SUMMARY-X_yyyyMMdd.txt

...

snort

AUDITDATA-SNORT-X_yyyyMMdd.txt

...

ZERODAY-SNORT-X_yyyyMMdd.txt

...

ClamAV

AUDITDATA-CLAMAV-X_yyyyMMdd.txt

...

-0060110.980453093001S00:0:0:70fe:de9:86f4:6bf0:e243216170:0:0:b17d:fd16:3e87:e6c8:e1a153402020/3/1  12:00:00.01013tcp


...

アンカー
DETECTION-SUMMARY
DETECTION-SUMMARY
検出サマリ

DETECTION-SUMMARY-X_yyyyMMdd.txt

項目の説明

Session ID 検証結果

セッションID

セッションの詳細はkyoto_dataをご確認下さい。

NII-SOCSの検知システムで検知した警報。

PaloaltoのThreat ID / Cisco FirepowerのGID_SID_REV) と括弧書きでセッションごとの検知回数を表記。


データ例

Session ID検証結果
1892262172658483(1)
189226217341_54794_2(1),58706(1)


...

アンカー
Snort
Snort
Snort

無償版IDSであるsnortを用いた検知結果

アンカー
AUDITDATA-SNORT
AUDITDATA-SNORT
AUDITDATA-SNORT-X_yyyyMMdd.txt

項目の説明

Session ID 1日後2週目(8日後)

セッションID

セッションの詳細はkyoto_dataをご確認下さい。

セッションの1日後にSnortで検証した結果。

SnortのGID-SID-REV、および、1セッションで2回以上の検知があった場合はその回数を括弧書きで表記。

セッションの8日後にSnort検証した結果。セッションのn日後にSnort検証した結果。


データ例

Session ID \ 検証1日後2週目(8日後)3週目(15日後)4週目(22日後)5週目(29日後)6週目(36日後)7週目(43日後)8週目(50日後)
189226217201-31136-2,1-23493-61-31136-2,1-23493-61-31136-2,1-23493-61-31136-2,1-23493-61-31136-2,1-23493-61-31136-2,1-23493-61-31136-2,1-23493-61-31136-2,1-23493-6
189226217261-42016-2 1-42016-2 1-42016-2 1-42016-2 1-42016-2 1-42016-2 1-42016-2 1-42016-2 
18922621734129-12-1(2)129-12-1(2)129-12-1(2)129-12-1(2)129-12-1(2)129-12-1(2)129-12-1(2)129-12-1(2)


アンカー
ZERODAY-SNORT
ZERODAY-SNORT
ZERODAY-SNORT-X_yyyyMMdd.txt

項目の説明

合致したルール名フラグ情報

GID-SID-REV

ベンチマーク全体で初めて検知した検知ルール:0

翌日の検査では未検知かつ2または5週目に検知した検知ルール:1

5週目の検査までは未検知かつ6週目以降の検査で検知ルール: 2

データ例

合致したルール名フラグ情報
1-42016-1 0
1-53026-1 1
1-79018-12


アンカー
ZERODAY_COUNT-SNORT
ZERODAY_COUNT-SNORT
ZERODAY_COUNT-SNORT-X_yyyyMMdd.txt

項目の説明

snort_newベンチマーク全体で初めて検知した件数
snort_2_5

翌日の検査では未検知かつ2〜5週目の検査で検知した件数

snort_6_8

5週目の検査までは未検知かつ6週目以降の検査で検知した件数

NII-SOCSではsnortの無償版を利用している。

Snortの無償版は、有償版よりルールセットの提供が30日遅れる(Snort>Snort FAQ>What are the differences in the rule sets? )ため、

6週目で検知できず、7週目以降に検知できた場合は、有償版でも当初は検知できなかったセロデイ攻撃とみなすことができる。

データ例


件数
snort_new0
snort_2_50
snort_6_80

...

アンカー
ClamAV
ClamAV
ClamAV

無償版アンチウィルスであるClamAVを用いた検知結果

アンカー
AUDITDATA-CLAMAV
AUDITDATA-CLAMAV
AUDITDATA-CLAMAV-X_yyyyMMdd.txt

項目の説明

Session ID 1日後2週目(8日後)

セッションID

セッションの詳細はkyoto_dataをご確認下さい。

セッションの1日後にClamAVで検証した結果。

ClamAVで検知したマルウェアの名称、および、1セッションで2回以上の検知があった場合はその回数を括弧書きで表記。

セッションの8日後にClamAVで検証した結果。セッションのn日後にClamAVで検証した結果。

データ例

Session ID \ 検証1日後2週目(8日後)3週目(15日後)4週目(22日後)5週目(29日後)6週目(36日後)7週目(43日後)8週目(50日後)
18922621721Email.Exploit.Efail-6543463-0(2)Email.Exploit.Efail-6543463-0(2)Email.Exploit.Efail-6543463-0(2)Email.Exploit.Efail-6543463-0(2)Email.Exploit.Efail-6543463-0(2)Email.Exploit.Efail-6543463-0(2)Email.Exploit.Efail-6543463-0(2)Email.Exploit.Efail-6543463-0(2)
18922621727Email.Exploit.Efail-6543463-0 Email.Exploit.Efail-6543463-0 Email.Exploit.Efail-6543463-0 Email.Exploit.Efail-6543463-0 Email.Exploit.Efail-6543463-0 Email.Exploit.Efail-6543463-0 Email.Exploit.Efail-6543463-0 Email.Exploit.Efail-6543463-0 
18922621732--Win.Trojan.Hide-1   Win.Trojan.Hide-1   Win.Trojan.Hide-1   Win.Trojan.Hide-1   Win.Trojan.Hide-1   Win.Trojan.Hide-1   

アンカー
ZERODAY-CLAMAV
ZERODAY-CLAMAV
ZERODAY-CLAMAV-X_yyyyMMdd.txt

項目の説明

マルウェア名フラグ情報
合致したマルウェアの名称

ベンチマーク全体で初めて検知したマルウェア:マルウェア名称 0

翌日の検査では未検知かつ2週目以降に検知したマルウェア:マルウェア名称 1

データ例

マルウェア名フラグ情報
Doc.Dropper.EmotetUpdate1020-9778523-00


アンカー
ZERODAY_COUNT-CLAMAV
ZERODAY_COUNT-CLAMAV
ZERODAY_COUNT-CLAMAV-X_yyyyMMdd.txt

項目の説明

ClamAV_newベンチマーク全体で初めて検知した件数
ClamAV_2_8

翌日の検査では未検知かつ2週目以降の検査で検知した件数

初回で検知できず2週目以降に検知できた場合は、当初は検知できなかったセロデイ攻撃とみなすことができる。

データ例


件数
ClamAV_new0
ClamAV_2_81


...

アンカー
Shellcode
Shellcode
Shellcode

外部権限取得(remote exploit)プログラム[3]の有無判定の検知結果

AUDITDATA-SHELLCODE-X_yyyyMMdd.txt

項目の説明

Session ID ShellcodeID

セッションID

セッションの詳細はkyoto_dataをご確認下さい。

セッションの1日後にShellcode検証した結果。

ShellcodeのID(確認順に採番)

データ例

Session IDShellcodeID
1892262171811
1892262172912



...

アンカー
マルウェア情報
マルウェア情報
マルウェア情報

NII-SOCSで観測したマルウェア検体、および、その検体のNII-SOCSのサンドボックスの解析結果。

提供するマルウェア情報の選定条件は以下のものとなります。

    • exe、dll、dmg、apk、javascript、swfなどからなる実行形式ファイル (※pdf, office系など文書系ファイルは提供しない)
    • 5機関以上の通信で検知があったもの


  マルウェア情報は、以下のファイルで構成されます

フォルダ名説明
 malware/

マルウェアファイル(検体)。

マルウェアファイルをパスワード付zip形式で圧縮したファイルです。解凍時のパスワードはreadme内にあります。

analysis/

マルウェアファイル挙動解析ファイル。

挙動解析結果ファイルをzip形式で圧縮したファイルです。

readme/Shellcode事後検証ファイル。

※ 最上位フォルダの名前は該当マルウェアのハッシュ値となっています


...

アンカー
ref_01
ref_01
[1] Jungsuk Song, Hiroki Takakura and Yasuo Okabe, “Cooperation of Intelligent Honeypots to Detect Unknown Malicious Codes,” WOMBAT Workshop on Information Security Threat Data Exchange (WISTDE 2008), Amsterdam, Netherlands, 21-22 April 2008.

アンカー
ref_02
ref_02
[2] 多田竜之介, 小林良太郎, 嶋田創, 高倉弘喜, NIDS評価用データセット: Kyoto 2016 Datasetの作成, 情報処理学会論文誌, Vol.58, No.9, pp.1450-1463, 2017年9月.

アンカー
ref_03
ref_03
[3] 野川裕記, 足立史宜, 辻野泰充, 守屋誠司, 齋藤和典, エクスプロイトコードの中のシェルコード検知 : 構造分析に基づいた検知手法, 電子情報通信学会技術研究報告. IA, インターネットアーキテクチャ 109(85), pp.7-12, 2009年6月.

ZERODAY-CLAMAV-X_yyyyMMdd.txt

...

ZERODAY_COUNT-CLAMAV-X_yyyyMMdd.txt

...

Shellcode

...

マルウェア情報

マルウェア情報は、以下のファイルで構成されます

...

マルウェアファイル(検体)。

マルウェアファイルをパスワード付zip形式で圧縮したファイルです。解凍時のパスワードはreadme内にあります

...

マルウェアファイル挙動解析ファイル。

挙動解析結果ファイルをzip形式で圧縮したファイルです。

...