...
ベンチマークデータは、以下のファイルで構成されます
| ファイル名 | 説明 | 更新 |
|---|---|---|
| KYOTODATA-X_yyyyMMdd.txt | ベンチマークデータ本体。通信の内容であるペイロードを含まないKyotoData2016フォーマット[1][2]に準拠した形に整形し、元データに関連した参加機関側の機器が特定され難いよう、ランダム化したファイル | 翌日1回のみ |
| DETECTION-SUMMARY-X_yyyyMMdd.txt | 検出サマリファイル | |
| AUDITDATA-SNORT-X_yyyyMMdd.txt | Snort事後検証ファイル。 | 翌日~50日後まで1週間おき |
| ZERODAY-SNORT-X_yyyyMMdd.txt | Snortゼロデイファイル。 | 該当レコードがあれば更新 |
| ZERODAY_COUNT-SNORT-X_yyyyMMdd.txt | Snort件数ファイル。 | 該当レコードがあれば更新 |
| AUDITDATA-CLAMAV-X_yyyyMMdd.txt | ClamAVの事後検証ファイル。 | 翌日~50日後まで1週間おき |
| ZERODAY-CLAMAV-X_yyyyMMdd.txt | ClamAVゼロデイファイル。 | 該当レコードがあれば更新 |
| ZERODAY_COUNT-CLAMAV-X_yyyyMMdd.txt | ClamAV件数ファイル。 | 該当レコードがあれば更新 |
| AUDITDATA-SHELLCODE-X_yyyyMMdd.txt | Shellcode事後検証ファイル。 | 翌日1回のみ |
※ X:元データを取得した拠点のコード yyyyMMdd:元データの通信日
更新時系列について
通信データ(KYOTODATA-X_yyyyMMdd.txt)と、その通信を各種検知システムで検証した結果ファイルを1セットとして提供します。
Shellcodeは検知後1回のみ、ClamAVとSnortは、通信日から50日後まで1週間おきに繰り返し検証を行い、検知結果を経過も含めて提供します。Shellcodeは検知後1回のみ、ClamAVとSnortは、通信日から50日後まで1週間おきに繰り返し検証を行い、検知結果を経過も含めて提供します。
kyoto_data
KYOTODATA-X_yyyyMMdd.txt
...
AUDITDATA-SNORT-X_yyyyMMdd.txt
| Session ID \ 検証 | 1日後 | 2週目(8日後) | 3週目(15日後) | 4週目(22日後) | 5週目(29日後) | 6週目(36日後) | 7週目(43日後) | 8週目(50日後) |
|---|---|---|---|---|---|---|---|---|
| 18922621720 | 1-31136-2,1-23493-6 | 1-31136-2,1-23493-6 | 1-31136-2,1-23493-6 | 1-31136-2,1-23493-6 | 1-31136-2,1-23493-6 | 1-31136-2,1-23493-6 | 1-31136-2,1-23493-6 | 1-31136-2,1-23493-6 |
| 18922621726 | 1-42016-2 | 1-42016-2 | 1-42016-2 | 1-42016-2 | 1-42016-2 | 1-42016-2 | 1-42016-2 | 1-42016-2 |
| 18922621734 | 129-12-1(2) | 129-12-1(2) | 129-12-1(2) | 129-12-1(2) | 129-12-1(2) | 129-12-1(2) | 129-12-1(2) | 129-12-1(2) |
...