TOP > 研究成果 > 特徴的なTCP/IPヘッダによるパケット検知ツール「tkiwa」

研究成果

特徴的なTCP/IPヘッダによるパケット検知ツールtkiwa

コンテンツ

  1. 概要
  2. 出力例
  3. ダウンロード
  4. 参考文献
  5. 更新履歴

概要

 tkiwaはOSの通信機能を使用せずに独自のネットワークスタックによって通信を行うマルウェアやツールを検知するCUIツールです。
 本ツールは情報処理学会主催コンピュータセキュリティシンポジウム 2014への投稿論文(参考文献[1])で提案された手法を実装したものです。

検知手法:

 OSの通信機能を用いた場合、通常パケット送信ごとに異なる値が設定されるシーケンス番号やIPヘッダのID値などの通信プロトコルの各ヘッダフィールドに着目し、固定値や一定のパターンが設定されているといった特徴を持つヘッダパターンをシグネチャとすることで、送信元のマルウェアやツールを特定します。


出力例

ZMapによるTCPスキャンパケット

$ tkiwa –r zmap_tcp.pcap

        << [TCP S] 192.168.11.3:1234 -> 192.168.11.1:80 >>  
        |  
        | date       = 2014-10-22 12:02:51.021105  
        | signature  = Zmap_tcp  
        | parameters = 54321(ipid):255(ttl):0(ipoff):3414890210(seq):0(ack):65535(win)  
        |  
        ---

        << [TCP S] 192.168.11.3:4321 -> 192.168.11.2:80 >>  
        |  
        | date       = 2014-10-22 12:02:51.021107  
        | signature  = Zmap_tcp  
        | parameters = 54321(ipid):255(ttl):0(ipoff):1611778721(seq):0(ack):65535(win)  
        |  
        ---  

マルウェアMortoによる3389/tcp宛通信(簡易表示)

$ tkiwa -r morto.pcap -lt

        2014-10-22 09:55:41.192224 [TCP S] 192.168.11.3:4935 -> 192.168.11.1:3389 [Morto_scan]
        2014-10-22 09:55:42.123476 [TCP S] 192.168.11.3:4935 -> 192.168.11.2:3389 [Morto_scan]

ダウンロード

最新リリース:

version2.1 : tkiwa-2.1.tar.gz


インストール・使用方法:

README


最新シグネチャデータ:

signature.json(version 3 最終更新日:2014/12/11)


参考文献

  • [1] 小出 駿, 鈴木 将吾, 牧田 大佑, 村上 洸介, 笠間 貴弘, 島村 隼平, 衛藤 将史, 井上 大介, 吉岡 克成, 松本 勉, "通信プロトコルのヘッダの特徴に基づく不正通信の検知・分類手法", 情報処理学会, コンピュータセキュリティシンポジウム(CSS) 2014.

更新履歴

  • 2015/7/9 tkiwa2.1、signature(ver4) 公開

    masscanUDPシグネチャ(DNS,NetBIOS,SNMP)に対応しました

  • 2015/2/10 tkiwa2.0 公開
  • 2014/12/12 tkiwa1.0.2、signature(ver3) 公開
  • 2014/12/3 tkiwa1.0.1、signature(ver2) 公開
  • 2014/10/19 tkiwa1.0 公開