MWSについて
マルウェア対策研究人材育成ワークショップ 2016 (MWS2016) は、サイバークリーンセンター ハニーポット(※1)で収集しているボット観測データ、 研究者コミュニティから提供されたデータを「研究用データセット」として活用するワークショップです。 研究者コミュニティから提供されたデータは、MWS2010 から新たな試みとして開始しました。
「研究用データセット」を活用した研究として3つの分野を想定しています。
- 検体解析技術の研究
- 感染手法の検知ならびに解析技術の研究
- ボットの活動傾向把握技術の研究
※1 「サイバークリーンセンター ハニーポット」はサイバークリーンセンター (CCC) の後継として、CCC 運営連絡会が引き続き運用しているハニーポットです。CCC 運営連絡会は、 CCC の活動を民間主導で引き継ぐために設立された連絡会で、次の3組織から構成されています。
- 一般財団法人 日本データ通信協会 テレコム・アイザック推進会議 (Telecom-ISAC Japan)
- 一般社団法人 JPCERTコーディネーションセンター (JPCERT/CC)
- 独立行政法人 情報処理推進機構 (IPA)
開催の目的
インターネットのセキュリティインシデント全般が見えにくくなっています。背景のひとつに、活動を見えにくくするためのマルウェア機能の高度化や運用が挙げられます。 このような状況下で、セキュリティインシデントの発生に迅速に対処するためには、先端的な研究者だけではなく、企業のネットワーク技術ならびにセキュリティ技術を開発する実務者もマルウェアに関する専門知識を備えていく必要があると考えています。
本ワークショップは、研究用データセットの提供、研究成果の共有ならびに切磋琢磨する環境の提供を通して、マルウェアに関する専門知識を備えた研究者/実務者を育成していくことを目的としています。
-
研究用データセットの提供
トラヒック分析技術やマルウェア分析技術を研究/評価するための適切な素材を準備し、研究者(学生、ネットワーク技術ならびにセキュリティ技術を開発する実務者)に提供することで、以下の二点を実現します。 -
研究成果の共有
同じ研究用データセットを用いて行った研究成果を本ワークショップで発表し、研究者間で共有することで、より具体的な成果の水平展開を図り、セキュリティ研究人材育成につなげます。 -
切磋琢磨する環境の提供
同じ研究用データセットに基づく研究内容を共有することで、具体的なスキルアップ目標や、先進的な研究テーマの発見など、研究者の評価育成の場を形成します。
さらに、ワークショップ開催を研究用標準データを対象とした研究の立ち上げトリガにしたいと考えています。
研究用データセットの提供 ~研究成果の共有~
切磋琢磨する環境の提供
マルウェア対策研究人材育成ワークショップ MWS2016 では、以下のデータセットを「研究用データセット」として活用します。
-
BOS
総務省実証事業「サイバー攻撃解析・防御モデル実践演習の実証実験の請負」にて実施し、 研究者コミュニティから提供された組織内ネットワークへの侵害活動を観測したデータ -
FFRI Dataset 2016
株式会社FFRIで収集したマルウェアの動的解析ログ -
NICTER Darknet Dataset 2016
サイバー攻撃観測・分析・対策システム NICTERで収集したダークネットトラフィックデータ -
PRACTICE (AmpPot) Dataset 2015
インターネット上のオープンなサーバ(DNS, NTP 等) を踏み台にして通信を増幅させることでサービス妨害を行う 分散反射型サービス妨害攻撃 (DRDoS 攻撃) を観測したデータセット -
CCC DATAset
マルウェア検体を収録したボット観測データ群であり、CCC運営連絡会が運用するサイバークリーンセンター ハニーポットで収集したマルウェア検体とウイルス対策ソフト6製品での検知名をリスト化したデータ -
D3M
研究者コミュニティから提供されたWeb感染型マルウェアデータ -
NCD in MWS Cup
MWS Cup 2014会期中に収集したホワイトデータセット -
PRACTICE Dataset 2013
総務省「国際連携によるサイバー攻撃予知・即応に関する実証実験」(略称:PRACTICE)の挙動観察システムで、 マルウェアを長期観測した際の通信トラヒック(マルウェア感染後の通信挙動)を示すデータ
本データセットの提供により、データセットを用いて研究開発した技術等の共有により人材育成を含む本研究分野の発展に寄与すること、 データセット作成そのものが研究対象分野として立ち上がり研究活動をさらに発展させていくことを期待している。
また、MWS では「データセットの提供」のほか、「データの分析ならびに対策技術の研究」、「研究成果の共有」 からなるマルウェア対策研究のサイクルを継続的に回すことで、研究活動を推進してきました。 「研究成果の共有」「切磋琢磨する環境」の具体的な活動の場として、情報処理学会で開催するシンポジウム CSS2016 を活用しています。
研究用データセット MWS Datasets 2016について
マルウェア対策研究人材育成ワークショップ MWS 2016 で使用する研究用データセット MWS Datasets 2016 は、 BOS 2016, FFRI Datasets 2016, PRACTICE (AmpPot) Dataset 2015, CCCDATAset, D3M, NCD in MWS Cup 2014, PRACTICE Dataset 2013 から構成されたデータ群です。 [Slide (PDF)]
MWS Datasets のまとめ
| MWS Datasets | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 2008 | 2009 | 2010 | 2011 | 2012 | 2013 | 2014 | 2015 | 2016 | |
| CCC DATAset | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | - | - | - |
| MARS for MWS | * | * | * | - | - | - | - | - | - |
| D3M | - | - | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | - |
| IIJ MITF DATAset | - | - | - | - | * | - | - | - | - |
| PRACTICE Dataset | - | - | - | - | - | ✔ | - | ✔ | - |
| FFRI Dataset | - | - | - | - | - | ✔ | ✔ | ✔ | ✔ |
| NICTER Darknet Dataset | - | - | - | - | - | ✔ | ✔ | ✔ | ✔ |
| BOS | - | - | - | - | - | - | ✔ | ✔ | ✔ |
| NCD in MWS Cup | - | - | - | - | - | - | - | ✔ | - |
| PRACTICE (AmpPot) Dataset | - | - | - | - | - | - | - | - | ✔ |
✔: MWS Datasets 2015に同梱している研究用データセット
*: 過去に同梱していたが、MWS Datasets 2016 には同梱していない研究用データセット
参考文献
-
MWS Datasets
- 高田雄太, 他: マルウェア対策のための研究用データセット ~ MWS 2016 Datasets ~, 情報処理学会, Vol.2016-CSEC-74, No.17, 2016年7月.
- 神薗雅紀, 他: マルウェア対策のための研究用データセット ~ MWS 2015 Datasets ~, 情報処理学会, Vol.2015-CSEC-70, No.6, 2015年7月.
- 秋山満昭, 他: マルウェア対策のための研究用データセット ~ MWS 2014 Datasets ~, 情報処理学会, Vol.2014-CSEC-66, No.19, 2014年6月.
- 神薗雅紀, 他: マルウェア対策のための研究用データセット ~ MWS 2013 Datasets ~, 情報処理学会シンポジウムシリーズ, Vol.2013, CSS2013 (MWS2013), 2013年10月.
- 畑田充弘, 他: マルウェア対策のための研究用データセット ~ MWS 2011 Datasets ~, 情報処理学会シンポジウムシリーズ, Vol.2011, CSS2011 (MWS2011), 2011年10月.
- 畑田充弘, 他: マルウェア対策のための研究用データセット -MWS 2010 Datasets-, 情報処理学会シンポジウムシリーズ, Vol.2010, CSS2010 (MWS2010), 2010年10月.
- Mitsuhiro Hatada, Mitsuaki Akiyama, Takahiro Matsuki, Takahiro Kasama, "Empowering Anti-malware Research in Japan by Sharing the MWS Datasets," IPSJ Journal of Information Processing, Vol.23, No.5, pp.579--588, Sep. 2015.
- CCC DATAset
- 畑田充弘, 他: マルウェア対策のための研究用データセットとワークショップを通じた研究成果の共有", 情報処理学会シンポジウムシリーズ, Vol.2009, No.11, CSS2009 (MWS2009), pp.1--8, 2009年10月.
- MARS for MWS
- 三輪信介, 宮本大輔, 櫨山寛章, 井上大輔, 門林雄基, "模倣DNS によるマルウェア隔離解析環境の解析能向上", サイバークリーンセンター・情報処理学会, マルウェア対策研究人材育成ワークショップ2008 (MWS2008), 2008年10月.
- S. MIWA, T. MIYACHI, M. ETO, M. YOSHIZUMI, and Y. SHINODA, "Design Issues of an Isolated Sandbox used to Analyze Malwares," In proceedings of Second International Workshop on Security (IWSEC2007), LNCS 4752 Advances in Information and Computer Security, ISBN 978-3-540-75650-7, pp.13--27, Oct. 2007.
- S. MIWA, T. MIYACHI, M. ETO, M. YOSHIZUMI, and Y. SHINODA, "Design and Implementation of an Isolated Sandbox with Mimetic Internet used to Analyze Malwares," DETER Community Workshop on Cyber Security Experimentation and Test 2007 (DETER07), Aug. 2007.
- 三輪信介, 門林雄基, 篠田陽一, " 小規模攻撃再現テストベッドによる動作記録データセットの生成", サイバークリーンセンター・情報処理学会, マルウェア対策研究人材育成ワークショップ2009(MWS2009), 2009年10月.
- D3M
- Mitsuaki Akiyama, Kazufumi Aoki, Yuhei Kawakoya, Makoto Iwamura, and Mitsuataka Itoh, "Design and Implementation of High Interaction Client Honeypot for Drive-by-download Attacks," IEICE Transactions on Communication, Vol.E93-B No.5 pp.1131--1139, May. 2010.
- NICTER Darknet Dataset
- K. Nakao, K. Yoshioka, D. Inoue, M. Eto, and K. Rikitake, "nicter: An Incident Analysis System using Correlation between Network Monitoring and Malware Analysis," In Proceedings of the First Joint Workshop on Information Security (JWIS 2006), Sep. 2006.
- D. Inoue, M. Eto, K. Yoshioka, S. Baba, K.Suzuki, J. Nakazato, K. Ohtaka, and K. Nakao, "nicter: An Inciden Analysis System Toward Binding Network Monitoring with Malware Analysis," In WOMBAT Workshop on Information Security Threats Data Collection and Sharing, pp.58--66, 2008.
- BOS
- 寺田真敏, 青木翔, 楠美淳弥, 重本倫宏, 萩原健太, "研究用データセット「動的活動観測2014」の検討", 情報処理学会,マルウェア対策研究人材育成ワークショップ2014 (MWS2014), 2014年10月.
- 寺田真敏, 堀健太郎, 成島佳孝, 吉野龍平, 萩原健太, "研究用データセット「動的活動観測2015」", 情報処理学会,マルウェア対策研究人材育成ワークショップ2015 (MWS2015), 2015年10月.
- PRACTICE (AmpPot) 2015
- L. Kramer, J. Krupp, D. Makita, T. Nishizoe, T. Koide, K. Yoshioka, and C. Rossow, "AmpPot: Monitoring and Defending Ampli cation DDoS Attacks," In Proceedings of the 18th International Symposium on Research in Attacks, Intrusions and Defenses (RAID), Nov. 2015.
MWS Cupについて
MWS Cup は、研究用データセットの活用によるマルウェア対策研究の成果を活用して、規定時間内で課題に取り組み解析結果を競います。 技術的な解析の正確性と、採点委員による解析方法のプレゼンテーションの採点から、 合計点が高いチームから表彰します。 研究用データセット活用WGにおいて、1チーム当り6名までエントリーを募集し、受付後に各課題の事前準備を各チームに依頼します。
開催日程
- 参加募集:2016年8月25日(木) から 2016年10月7日(金) まで
- 解析競技:2016年10月11日(火) 9:30 -- 12:00
- プレゼンテーション:2016年10月12日(水)10:40 -- 11:55 (セッション 2B2)
課題
- 課題1:Drive-by Download解析 事前課題として実施, 期間: 2016年9月9日(金) -- 2016年10月7日(金)
- 課題2:マルウェア静的解析 当日に実施
- 課題3:マルウェア動的解析 当日に実施
エントリーチーム (16チーム、83名)
- 取鳥(とっとり)
- セキュリティ讃歌
- たこ焼きLab
- INE
- m1z0r3 with team goto love
- ISL
- UN頼み-2016
- √mochigoma
- SecCap-Osaka
- m1z0r3 beginners
- KKKK
- Team.AZ
- 人海戦術 Blackチーム
- 人海戦術 White チーム
- dodododo
- itto-net
結果
公開日: 2016年7月1日
更新日: 2016年11月24日
Copyright 2016 (社)情報処理学会 コンピュータセキュリティ研究会 MWS組織委員会
All rights reserved.
