ページ ツリー

このページの古いバージョンを表示しています。現在のバージョンを表示します。

現在のバージョンとの相違点 ページ履歴を表示

« 前のバージョン バージョン 19 次のバージョン »


ベンチマークデータ

ベンチマークデータは、以下のファイルで構成されます

ファイル名説明更新
KYOTODATA-X_yyyyMMdd.txtベンチマークデータ本体。通信の内容であるペイロードを含まないKyotoData2016フォーマット[1][2]に準拠した形に整形し、元データに関連した参加機関側の機器が特定され難いよう、ランダム化したファイル翌日1回のみ
AUDITDATA-CLAMAV-X_yyyyMMdd.txtClamAVの事後検証ファイル。翌日~50日後まで1週間おき
AUDITDATA-SHELLCODE-X_yyyyMMdd.txtShellcode事後検証ファイル翌日1回のみ
AUDITDATA-SNORT-X_yyyyMMdd.txtSnort事後検証ファイル翌日~50日後まで1週間おき
ZERODAY-CLAMAV-X_yyyyMMdd.txtClamAVゼロデイファイル該当レコードがあれば更新
ZERODAY-SNORT-X_yyyyMMdd.txtSnortゼロデイファイル該当レコードがあれば更新
ZERODAY_COUNT-CLAMAV-X_yyyyMMdd.txtClamAV件数ファイル該当レコードがあれば更新
ZERODAY_COUNT-SNORT-X_yyyyMMdd.txtSnort件数ファイル該当レコードがあれば更新

※ X:元データを取得した拠点のコード yyyyMMdd:元データの通信日


更新時系列について

通信データ(KYOTODATA-X_yyyyMMdd.txt)と、その通信を各種検知システムで検証した結果ファイルを1セットとして提供します。

Shellcodeは検知後1回のみ、ClamAVとSnortは、通信日から50日後まで1週間おきに繰り返し検証を行い、検知結果を経過も含めて提供します。


kyoto_data

項目の説明

Session IDセッションID
Durationセッションの継続時間
Serviceサービスの種類
Source_Bytes送信バイト数
Destionation_Bytes受信バイト数
Count過去2 秒間のセッションのうち現在のセッションと宛先IPアドレスが同じ数
Same_srv_rateCount特徴で該当したセッションのうち現在のセッションとサービスの種類が同じ割合
Serror_rateCount特徴で該当したセッションのうちSYNエラーが起こった割合
Srv_serror_rate過去2 秒間のセッションで現在のセッションとサービス種類が同じセッションのうち,”SYN"エラーが起こった割合
Dst_host_count宛先ポートが同じ過去の100 セッションのうち,現在のセッションと送信元IP アドレスと宛先IP アドレスが同じ数 
Dst_host_srv_count宛先ポートが同じ過去の100 セッションのうち,現在のセッションと宛先IP アドレスとサービス種類が同じ数
Dst_host_same_src_port_rateDst_host_count特徴で該当したセッションのうち現在のセッションと送信元ポートが同じ割合:
Dst_host_serror_rateDst_host_count特徴で該当したセッションのうち”SYN"エラーが起こった割合
Dst_host_srv_serror_rateDst_host_srv_count特徴で該当したセッションのうち”SYN"エラーが起こった割合
Flagセッション終了時の接続の状態
Source_IP_Address送信元IPアドレス※
Source_Port_Number送信元ポート番号※
Destination_IP_Address宛先IPアドレス※
Destination_Port_Number宛先ポート番号
セッション開始時刻※ 
プロトコル種別 

 (※はランダム化処理後の値)


Session ID


Duration

Service

Source_Bytes

Destionation_Bytes

Count

Same_srv_rate

Serror_rate

Srv_serror_rate

Dst_host_count

Dst_host_srv_count

Dst_host_same_src_port_rate

Dst_host_serror_rateDst_host_srv_serror_rate

Flag

Source_IP_Address
(ランダム化)
Source_Port_Number
(ランダム化)
Destination_IP_Address
(ランダム化済)
Destination_Port_Number
(1024以上のポートをランダム化済)

セッション開始時刻
(※開始時刻変更済)

プロトコル種別
189226217170-000000.98040300000S00:0:0:7efe:23d9:fefe:a00:e2d4368070:0:0:cf00:23e8:7171:1008:e1e8627612020/3/1  12:00:00.00246udp
189226217180-000000.98040300000S00:0:0:80:2de7:fe88:9d88:fe32626330:0:0:f01:e3e7:b6f1:86ff:15c232020/3/1  12:00:00.00251tcp
189226217190-000000.98040300000S00:0:0:4100:1226:3902:93cf:fdbd153940:0:0:f082:33d9:c900:e687:fdd3136232020/3/1  12:00:00.00314tcp
189226217200-000000.98040200000S00:0:0:e83:ece7:8605:1c30:e13463930:0:0:ff7e:3329:c68f:9b0:e1b723232020/3/1  12:00:00.00342tcp
189226217210-001110.98040200000S00:0:0:cf7f:ec27:c1fd:91b0:fdd8229380:0:0:bf7c:23d8:179:e9b7:e15b252020/3/1  12:00:00.00380tcp
189226217220-000000.98040200000S00:0:0:cf03:dd27:be8b:8f77:106588540:0:0:3f02:2d6:3e03:e400:1e2777502020/3/1  12:00:00.00434tcp
189226217230-000000.98041900000S00:0:0:f080:319:89f9:b87:fe3f317940:0:0:30fd:c3e6:3e09:13f7:1dd56962020/3/1  12:00:00.00380tcp
189226217240-000000.98043600000S00:0:0:cf7f:ec27:c1fd:91b0:fdd8229380:0:0:8e81:e217:f68a:68c7:e1e2559932020/3/1  12:00:00.00434tcp
189226217250-000000.98043600000S00:0:0:4100:1226:3902:93cf:fdbd153940:0:0:ce81:f2e8:6f6:6a07:fd01535372020/3/1  12:00:00.00457tcp
189226217260-000000.98043700000S00:0:0:ceff:f218:1fa:dc7:fe04471720:0:0:e83:fdd9:860c:e577:11748002020/3/1  12:00:00.00480udp
189226217270-000000.98043600000S00:0:0:4100:1226:3902:93cf:fdbd153940:0:0:cf01:dce9:c182:fd4f:1dfa252020/3/1  12:00:00.00634tcp
189226217280-000000.98043700000S00:0:0:7efe:23d9:fefe:a00:e2d4573320:0:0:c101:e218:4981:92c0:224627612020/3/1  12:00:00.00648udp
189226217290-000000.98043500000S00:0:0:cf7f:ec27:c1fd:91b0:fdd8229380:0:0:fefe:1c26:767f:1db7:1f5232020/3/1  12:00:00.00659tcp
189226217300-000000.98043600000S00:0:0:cf7f:d228:6f9:9bf0:1e62343910:0:0:3f03:f2e9:b9ff:a48:e2cc882020/3/1  12:00:00.00783tcp
189226217310-000000.98043600000S00:0:0:ceff:f218:1fa:dc7:fe0465400:0:0:3e80:2dd7:c10c:9c07:1e42262452020/3/1  12:00:00.00832udp
189226217320-000000.98043500000S00:0:0:cf03:dd27:be8b:8f77:106588540:0:0:feff:ede9:be02:f5cf:1db5252020/3/1  12:00:00.00842tcp
189226217330-000000.98045300000S00:0:0:7efe:23d9:fefe:a00:e2d4388170:0:0:7100:2316:390c:6e38:1e67627612020/3/1  12:00:00.00901udp
189226217340-000000.98045300000S00:0:0:f0fd:fc17:b101:7bc7:fe63610590:0:0:efc:d26:988:8408:1d22352552020/3/1  12:00:00.00924tcp
189226217350-000000.98045300000S00:0:0:417f:d2e8:909:8780:2cc185310:0:0:f080:2318:4686:6c78:1ea5303542020/3/1  12:00:00.01002tcp
189226217363.002422-0060110.980453093001S00:0:0:70fe:de9:86f4:6bf0:e243216170:0:0:b17d:fd16:3e87:e6c8:e1a153402020/3/1  12:00:00.01013tcp


snort

Session ID18152229364350
189226217201-31136-2,1-23493-61-31136-2,1-23493-61-31136-2,1-23493-61-31136-2,1-23493-61-31136-2,1-23493-61-31136-2,1-23493-61-31136-2,1-23493-61-31136-2,1-23493-6
189226217261-42016-2 1-42016-2 1-42016-2 1-42016-2 1-42016-2 1-42016-2 1-42016-2 1-42016-2 
18922621734129-12-1(2)129-12-1(2)129-12-1(2)129-12-1(2)129-12-1(2)129-12-1(2)129-12-1(2)129-12-1(2)


ClamAV

Session ID18152229364350
18922621721Email.Exploit.Efail-6543463-0(2)Email.Exploit.Efail-6543463-0(2)Email.Exploit.Efail-6543463-0(2)Email.Exploit.Efail-6543463-0(2)Email.Exploit.Efail-6543463-0(2)Email.Exploit.Efail-6543463-0(2)Email.Exploit.Efail-6543463-0(2)Email.Exploit.Efail-6543463-0(2)
18922621727Email.Exploit.Efail-6543463-0 Email.Exploit.Efail-6543463-0 Email.Exploit.Efail-6543463-0 Email.Exploit.Efail-6543463-0 Email.Exploit.Efail-6543463-0 Email.Exploit.Efail-6543463-0 Email.Exploit.Efail-6543463-0 Email.Exploit.Efail-6543463-0 
18922621732--Win.Trojan.Hide-1   Win.Trojan.Hide-1   Win.Trojan.Hide-1   Win.Trojan.Hide-1   Win.Trojan.Hide-1   Win.Trojan.Hide-1   


Shellcode

Session IDshellcode ID
1892262171811
1892262172912





マルウェア情報

マルウェア情報は、以下のファイルで構成されます

フォルダ名説明
 malware/

マルウェアファイル(検体)。

マルウェアファイルをパスワード付zip形式で圧縮したファイルです。解凍時のパスワードはreadme内にあります


analysis/

マルウェアファイル挙動解析ファイル。

挙動解析結果ファイルをzip形式で圧縮したファイルです。


readme/Shellcode事後検証ファイル。

※ 最上位フォルダの名前は該当マルウェアのハッシュ値となっています

  • ラベルがありません