wclscan_logo
wclscan_logo_j

face
msg
アイコンの説明
Add to Google

Threat 3D

PC/PDA用表示

現在の状況

ポート別変化グラフ

ベイズ変化グラフ

ポートランキング

国別ランキング

世界地図版

音声による状況報告

GeomapMovie

相関分析

システムの構成図

過去のトピックスなど

本サイト閲覧にはFirefoxを推奨します。

Get Firefox

WCLSCANのインターネット概況を一目で確認するための フェイス表示がGoogleガジェットとして 利用できるようになりました。 (ひ)

Add to Google

  • 過去のひとことへ

    ワームが近接IPブロックアドレスへ感染している様子を 示すアニメーション (2004年5月分観測データによる)

    Seville, June 2007 - 19th Annual FIRST Conference - Conference Speaker
    our FIRST2007 paper download


    1999年より開発している小規模サイト向けセキュリティログ・プリティプリントツール clscanはsourceforge.jpで開発しています。ウェ ブサイト開発 サイト
    US-CERTにある 現在アクティブなポートスキャン リスト
    インターネットストームセンター トレンド掲示

    JPCERT/CCインターネット定点観測システム ISDAS


    警察庁インターネット 定点観測システム


    携帯用サイトのためのQRコードです。紙面での紹介などに自由にお使いください。


    email address is hironobu a t wclscan d o t org

    135x45

  • 日本から見た世界の状況

    文字サイズが攻撃の量を示しています。 文字の色が赤であれば脅威が増加傾向を示しています。 白は減少傾向を示しています。過去一ヶ月の変化を 動画で見ることもできます。

    音声による状況報告 / WCLSCAN STATUS

    日本語

    ENGLISH

    Google Earthを使ったビジュアライズ

    Google Earthを使ったクールなビジュアライズを利用できるようになりました。 ここをクリックするとGoogle Earthが始まります。 一週間前から前日までを表示します。いつの状況を見るかは左上のスライダーで調節してください。まだβバージョンです。時々データ欠損が生じる場合もありますが、気にしないでください。[2009-03-16]

    Internet Global Threats 3D Visualization

    Internet Global Threats 3D Visualizationは 脅威となる攻撃を自動的にリストアップし、その攻撃がどこから来ているのか 直感的に理解する3D表示機能のプロトタイプです。 Google Earthのプラグイン機能を使い表示させています。 現在、WCLSCANは日本だけではなくオーストラリアとアメリカにもセンサーを保有 (少数) していますのでアメリカとオーストラリアへの脅威も現れます。

    インターネット上のインシデント情報を解析するシステム

    本サイトでは1999年より進めてきたネットワークセキュリティの研究開発成果 を公開しています。インターネット早期広域後期攻撃警戒システムWCLSCANは パケット検出しデータベース化した後、統計情報等の抽出、 広域ネットワーク上のセキュリティに対する脅威を自動的に 検知・発見するシステムです。 24時間・356日体制で ベイズ推定を用い インターネット上でのインシデント危険度を自動的に察知する機能を持つ Internet Weather Report aka WCLSCAN ( 論文 ) を稼働させています。

    直観的に現在のインターネット上の状況を理解できるようにページ左上にある 顔のアイコンが現在の 状況 を示しています。 またiモードやEZWebなどにも対応しており携帯からも確認できます。

    ベイズ推定ユニットによる複雑な計算を経て脅威と判断しているため、通常の 人間の判断ではむずかしい大量のデータに埋もれて認知できないような未知の脅威も このシステムはピックアップしてくれます。

  • 参考: フリー百科事典『ウィキペディア(Wikipedia)』 ベイズの定理
  • 参考: CNET Japan グーグル、インテル、MSが注目するベイズ理論
  • さらに増えた新しい機能

    検知パケットの相関による脅威の測定

    計測したパケットデータを用いて相関を解析し、攻撃の関連性や変化を見つけ ようとする研究の成果です。状況は毎時間アップデートされます。 [ 相関分析のページへ ]

    Geomap Movie

    パケットの送り元と送付量と増加傾向を世界地図 (GEOmetrical MAPping)で 表現 していますが、今度は過去72時間分の画像を動画にしてみました。 Windows Media Player, Linux (Firefox plugin)で動作することを確認しました。 (こちらからダウンロード)
    簡単な説明: 過去72時間分の動画になっています。 国は2文字のコードで表しています。文字サイズの大小は発信した パケット数に従います。発信するパケット数が増加するに従い真紅(どす黒い赤に見えますが)へ変化します。白は非増加状態です。

    検知パケットの3Dグラフ化 (GNUPLOT編)

    GNUPLOTを使い3Dグラフ化しました。view方向をマウスで自由に変更できます。 データとスクリプトは以下に用意してあります。 あと、デモをYoutubeにアップロードしておきました。

  • http://www.wclscan.org/iwr/wclscan_3Dplot.taz

    パケット送り元の国々

    センサーボックスにたいして、ある一定量のパケットを送信している国(厳密 にはccTDL)の一覧を国旗を使ってリストアップしてみました。国名をアルファ ベット順で並べています。対象となるデータは過去21日分です。

    マジックナンバー

    過去のデータから攻撃パターンを統計的に分析し攻撃アクティビティを見つけ る新しい技術を開発しています。その中の出力データの1つに攻撃アクティビ ティのパターン数があります。ここでは過去7日間に計測できたパターン数を、 マジックナンバーとしてサイト上に表示しています(左欄 Today's Magic Number を参照のこと)。脆弱性に対して攻撃をしているワームやウィルスなど はインターネット上に多数存在しています。しかし、その狙いとなる脆弱性が 無限にあるわけではありません。裏を返せばワームやウィルスは特定の脆弱性 に対して繰り返し攻撃を行なうということになります。新たな脆弱性が発見さ れ攻撃対象となった時、当然ながらその新たな脆弱性を含んだパターンが加わ るであろうと予想されます。現在、実証段階にある技術ですが、その一部の情 報を公開し、みなさんも観察することができるようにしました。

    感染状況のアニメーション ( YouTube )

    2005年7月から8月にかけてセンサーが検知したポート135へのパケットの状況 をアニメーション化したものです。パケット送付元のIPアドレスの1オクテッ ト目、2オクテット目、3オクテット目をx/y/xの軸にしてプロットしています。 このアニメーションの最も特徴的な点は赤く柱が立っていることです。このア ニメーションを見るとこのタイプのワームは/24のアドレス、つまり近隣のIP アドレスに対して感染するタイプであることがよくわかります。 今までgifファイルとしてダウンロードできるようにしていましたが、今や時 代はYouTubeなので、YouTube上に置いてリンクをするようにしました。自分の マシンにダウンロードしたい時は次のファイルをお使いください。 時系列アニメーション(約9.3MB) / ダウンロード用ZIP圧縮ファイル(約269KB)

    常にデスクトップ上に状況を表示するためのツール

    常にデスクトップ上に状況を表示するためのツール GNOME 2.6用のアプレット GNOME IWR Applet も用意しています。これはDebian GNU/Linux Sarge環境、Ubuntu 6.10環 境で動作することを確認しました。常にGnomeのパネルに表示されているので 使うと便利です。 WCLSCANのソースコードは GPLライセンス のソフトウェアと して 公開 しています。

    携帯からのチェック

    携帯からもチェックできます。左のQRコードをお使いになるか下記URLに アクセスしてみてください。

  • http://www.wclscan.org/iwr/f.html

    WCLSCANプロジェクトとは

    WCLSCANプロジェクトは すずきひろのぶ を中心に企業や大学からのボランティアにより支えられている研究プロジェクトです。

  • インターネット早期広域攻撃警戒システムWCLSCAN簡略概要 (英語 全12P スライド) [pdf] 現在、3つの企業、4つの大学からの協力のもとに進められています。

    最近の話題

    [2007Jul03] GeomapMovieを加えました。過去72時間分のパケット受信の状況を動画で見る ことができます。

    [2007Feb13] 現在の攻撃アクティビティパターン数を示しているマジックナンバーを加えました。

    [2007Feb10] 検知したパケット3D化したグラフを作りました。これによってイ ンターネットの変化をより視覚的に捉えることができます。毎日深夜に1回更新します。

    [2006Dec31]QRコードを用意: 携帯電話にいちいちURLをタイプする面倒をなくするためQRコードを用意しま した。Q作くんを使って作っています(Q作くんサイト様ありがとうございます)。

    [2006Mar24] WCLSCAN関連の講演をしました: 2006年3月24日(金)に早稲田大学理工学部で行なわれたセキュリティ人材育 成シンポジウム(主催:セキュリティ技術者養成センター ※1)でWCLSCANに 関連する3つの講演をしました。

  • インターネット早期広域攻撃警戒システムWCLSCAN概要 --- 鈴木裕信 [pdf]
  • WCLSCAN応用例 --- 浅香緑
  • WCLSCANの可能性 --- 村瀬一郎
      ※1 代表 村岡洋一 早稲田大学副総長 : 文部科学省支援により2001年度に早稲田大学理工学部内に設立

    [2006Jan02]

    年をまたがる処理にバグがありました: データベースにデータを登録するための処理プログラムにバグがありました。 そのたため"2006-01-01 00:00:00"から"2006-01-02 22:30:00"までうまく表示 出来ていませんでした。 ふるくから潜在的にバグとしてあったようなのですが、いくつかの条件が重な らなかったために今までこのバグは発現していませんでした。クイックハック をしたので、とりあえず今年に関しては問題ありません。ただし、まだ 潜在的なバグが残っているには残っているので、 時間をみつけて直しておきます。

    [2005Dec28] 電解コンデンサー大量死事件: 最近、同時期 に複数のセンサーボックスのハードウェア故障するという事件がありました。 まったく同じ構成で、同時に故障というのは何故??? メーリングリストの中 で話し合った結果、たぶん「電解コンデンサー大量死」あたりだろうというこ とに。使っているマザーボードが2002年製ですから時期もぴったり。ちなみに センサーボックスは2002年当時OpenPKSDクラスタリング化実験研究に使ってい たものを再利用しています。実際にセンサーボックスを回収し、研究に参加し ている大学院生の手をかりて分解してみました。やっぱり...コンデンサーが 煮えていました。15000時間程度稼働していたので、まあ、よく持ったなと褒 めてあげたい気持もあるのですが、故障を起こしていない他のセンサーボック スも同じ問題があるはず。これから何ヶ月かは新しいマシンの手配、現地での 交換、とても大変な日々が続く予感です。


    以前の記録は " 過去のトピックスなど " の ページを参照ください。
    下記に過去のトピックスの抜粋を掲載します。


    [2005Dec14] 音声による状況報告: Java Applet ( tinyplayer ) を使って現在の状況を音声でも報告するようにしました。

    [2005Oct09] geomapをさらに改造〜 何日かgeomapを運用してみてさらに変更をしてみました。

    [2005Sep29] パケットがどこからやって来たか: パケット発信元を 地図上に マップしました。一時間毎に更新されます。

    [2005Sep26] WWW.WCLSCAN.ORG公開: WCLSCANプロジェクト用ドメインを取りました。 今後はこのサイトで情報を公開していきます。

    [2004Aug08] ワーム感染の広がりをアニメーション化 : port 135を走査するワームがどのように広がったかを 示す 時系列アニメーション(約9.3MB) (ダウンロード用ZIP圧縮ファイル 約269KB ) です。近接アドレスブロックへ感染するのがわかります。

    [2004Jul13] 最優秀発表賞受賞ほか : ソフトウェアシンポジューム2004 ( page ) で発表した「インターネット早期広域攻撃警戒システムWCLSCAN」 が最優秀発表賞を受賞しました。 FIRST Conference 2004, 16th Annual Computer Security Incident Handling Conference, Budapest, Hungary. ( page ) に論文が採択され、発表をしました。

    過去の発表など

  • 2007年6月17-22日までスペインのセビージャで開催された19th Annual FIRST ConferenceでWCLSCANの発表をして来ました。(スライドpdf)(論文 pdf)
  • 2006年1月に広島で行なわれた 暗号と情報セキュリティシンポジウム2006 にてウェーブレット解析を用いた周波数成分変化に基づくインターネット脅威 検出法に関しての発表をしました。
  • 2005年10月に愛媛県松山市で行なわれた コンピュータセキュリティシンポジューム2005 にてインターネット上のポート観測による不正パケットの分布に 関する特徴分析についての発表をしました。

  • 2004年12月3日に横浜パシフィコで開催された Internet Week 2004 Security Dayの 「日本国内における定点観測系の紹介とその活用方法」セッションに パネラーとして参加しました。 ハンドアウト資料 スライド資料 、そして 会場の様子 [ 1 ] [ 2 ] です。

  • ソフトウェアシンポジューム2004での発表では最優秀発表賞を頂きました。 アブストラクト ( pdf ) と 発表スライド ( pdf ) です。 発表デモで使った3Dアニメーション (約1.2MBのアーカイブを ダウンロード ) はパケット発信元IPアドレスを時系列で示しています。

  • ハンガリーのプタペストで開催されたFIRST Conference 2004, 16th Annual Computer Security Incident Handling Conference の採択論文 ( pdf ) と発表に使ったスライド ( pdf ) です。プレゼンテーションは石黒さん@三菱総研とすずきひろのぶが 一緒にしました。

  • プロジェクトメンバーである石黒さん(三菱総合研究所)が2004年1月の SCIS2004で発表した 「ベイズ推定に基づくインターネット攻撃検知システムの開発 ( 論文 / スライド )」 を公開します。 全体の概要、性能評価について分析しています。

  • 2001年9月27日の Linux Conference 2001 で 「セキュリティインシデントの現状とネットワーク環境におけるセキュリティ保全」 というテーマで講演した際に、 ルータのログから見たインシデントの発生の分析を行ないました。 この中でもCLSCANの紹介、WCLSCANの提唱をしました。 300Kほどの パワーポイントの プレゼンテーションファイル(約300KB) です。さらに PDF化したファイル (約600KB)を用意しました。

  • 2001年6月の ソフトウェア・シンポジウム2001@高知 でclscan関連の発表をしました。 CLSCANをベースに広域アラートWCLSCANへの拡張の提唱しました。 発表したプレゼンテーション( PDFファイル形式 パワーポイントスライド )

  • $Date: 2014/01/26 20:13:59 $