過去のトピックスなど

[2006Jan02] 年をまたがる処理にバグがありました: データベースにデータを登録するための処理プログラムにバグがありました。そのたため"2006-01-01 00:00:00"から"2006-01-02 22:30:00"までうまく表示出来ていませんでした。ふるくから潜在的にバグとしてあったようなのですが、いくつかの条件が重ならなかったために今までこのバグは発現していませんでした。クイックハックをしたので、とりあえず今年に関しては問題ありません。ただし、まだ潜在的なバグが残っているには残っているので、時間をみつけて直しておきます。

[2005Dec28] 電解コンデンサー大量死事件: 最近、同時期に複数のセンサーボックスのハードウェア故障するという事件がありました。まったく同じ構成で、同時に故障というのは何故??? メーリングリストの中で話し合った結果、たぶん「電解コンデンサー大量死」あたりだろうということに。使っているマザーボードが2002年製ですから時期もぴったり。ちなみにセンサーボックスは2002年当時OpenPKSDクラスタリング化実験研究に使っていたものを再利用しています。実際にセンサーボックスを回収し、研究に参加している大学院生の手をかりて分解してみました。やっぱり...コンデンサーが煮えていました。15000時間程度稼働していたので、まあ、よく持ったなと褒めてあげたい気持もあるのですが、故障を起こしていない他のセンサーボックスも同じ問題があるはず。これから何ヶ月かは新しいマシンの手配、現地での交換、とても大変な日々が続く予感です。

[2005Dec15] 音声による状況報告(説明追加): 読み上げる「現在のレベル」と「PC/PDA用表示」のレベルの数が合致しないことについての説明です。読み上げと顔アイコンは同じレベルに合わせています。b>=0.9 / 0.9 > b >=0.8 / 0.8 > b >= 0.7 / b < 0.7 (b=ベイズ推定値)が各々レベル1/2/3/4になっています。「PC/PDA用表示」は、もうちょっと下の値でレベルを変えています。なんで、そうなったかというと「むかしのレガシーな部分をひきずっているから」としかいえません。顔や音声は比較的新しいのに対し、計算を表示する表の所はかなり古くに作っているので微妙に閾値が違うということです。とはいえ閾値の決め方にしても経験上の値を使っているにしか過ぎません。レベルに関しては見慣れている方で判断してください。

[2005Dec14] 音声による状況報告: Java Applet ( tinyplayer ) を使って現在の状況を音声でも報告するようにしました。小さなウインドウが開き、サウンド用のJavaがロードされると「音声機能開始」と声が出ます。 30秒ほどそのままにしておくか、気が短い人は音声機能開始のリンクを選択してください。「ネットワーク状況〜」が読み上げられます。そのままネットワーク状況のウインドウを開いておくと15分毎に自動的に読み上げます。いくつかの単語をchunked sound fileとして用意しておき、それを連結するという原始的な方法を取っています。用語やメッセージが適切かどうかなどの検討はまだしていません。ギミック感ありありの機能を入れてみる実験をしばらく続けます。ちなみに声優さんは「箱森ゆめ」さんです。

[2005Oct09] geomapをさらに改造〜何日かgeomapを運用してみてさらに変更をしてみました。

過去24時間を一週間前と比較する : 以前は前日と比較していましたが、曜日による周期性があるので、一週間前と比較するようにしました。
稼働、非稼働のセンサーをより分ける : よりよく比較するため全体のバルクではなく、比較期間に正常に稼働していたセンサーのみを抽出し、そこからのデータのみを比較するようにしました。
増加率の文字表示 : 何％の増加・減少だったのか値を表示するようにしました。ただし表示されるのはマイナス１００％からプラス１００％の範囲です。プラス１００％より大きい場合は１００％となります。
足切りを二段階にする : 到着パケットが5つ以下のものは対象外です。また多くの国から来ている時、上位20カ国のみ表示するようにしました。

そのうち仕様が落ち着いてきたら、geomapが地図の見方の解説を用意します。少々おまちください。

[2005Oct09] geomapさらにブラッシュアップ〜頂いたコメントを元にgeomapさらに面白くしました。検知パケット量の違いによって国名を大きくする、フォントに色をつける、増量分に関してもうちょっと細かい変化をつける、文字をきれいに見分けられるようにする、といった改造をしました。尚、クオリティを上げたため（圧縮率を低くしたため）以前より画像サイズが大きくなっています。

[2005Sep29] パケットがどこからやって来たかを表示している地図を作りました。早くも改良して 24時間以内にセンサーに到着したパケットに対して発信元を国別に分類し、 4個以上計測された国ならば地図に表示していました。さらに、本日と昨日のパケット量の違いを比べて増えている国には赤くマークをつけています。 増加率が大きいと赤色が強くなります。新しく現れた国は黄色になっています。通称geomapと呼んでいますが、正式な名称はまだありません。一時間毎に更新されます。

[2005Sep26] WWW.WCLSCAN.ORG を公開しました。今後はこのサイトで情報を公開していきます。

[2005Jun25] IWR aka. WCLSCAN処理専用マシンをDual Opteron構成のマシン へと強化しました。今後のさらに多くのサービスを提供していく予定です。

[2004Aug08] 国別発信元IPアドレス集計表 : 過去30日間にWCLSCANセンサーアレー群がキャッチしたIPアドレスを国別に集計してみました。ただし過度に国別の集計を重要視すべきではありません。本来は近接したIPブロックアドレスへの影響を考えるべきだと考えるからです。参考としてport 135を走査するワームがどのように広がったかを示す時系列アニメーション(約9.3MB) (ダウンロード用ZIP圧縮ファイル約269KB ) を紹介します。 X/Y/Z軸をIPアドレスの1st/2nd/3rd octet目に割り当て、時間スケールは24時間、期間は30日間です。赤い柱のように近接アドレスブロックへ感染させようとするのがわかると思います。

[2004Jul13] 最優秀発表賞受賞ほか : ソフトウェアシンポジューム2004 ( page ) で発表した「インターネット早期広域攻撃警戒システムWCLSCAN」が最優秀発表賞を受賞しました。また、FIRST Conference 2004, 16th Annual Computer Security Incident Handling Conference, Budapest, Hungary. ( page ) での発表を終えてきました。

[2005Jun20] IWR aka. WCLSCANのデータベース・計算サーバをさらに強力なものにリプレースします。作業には数日かかります。その間、インターネット危険度を表すフェースマークやグラフなどのアップデートは停止します。よろしくお願いします。

[2005May28] センサーに届くパケットの統計処理に関して、少し変更を加えました。今まで到着したすべてのパケットに対して処理していましたが、今度からは同じアドレスから繰り返して何度も来るようなパケットは、まとめて１カウントにしてしまう方法にしました。これによって同じパケットを大量に吐き出すようなウィルスがあっても対応できるようになったはずです。この方式でしばらく様子を見てみます。

[2004Dec25] 2004年12月22日深夜に特定のセンサボックスに対してDDoSが行われた形跡を発見しました。今後の経過観察のためにデータは補正はしていません。そのため該当時間帯のデータに異常なピークが発生しております。データを参照の際はご注意ください。

[2004May06] GNOME 2.6用のアプレットGNOME IWR Applet を作成 : GNOME 2.6用のアプレット GNOME IWR Applet を作成しました。GNOMEのアプレットとして、IWR aka WCLSCAN の結果を一定時間毎にモニターします。各ディストリビューション用のパッケージなどは、まだ用意されていませんが、ソースコードはダウンロードできます。

[2004Apr07] 直観的な理解を助けるアイコン : 現在のインターネットの状況が一目でわかるように、左上に顔のアイコンを表示するようにしました。顔の種類と意味はこちらにあります。これは、1991年前後にNeTSプロジェクトで共同研究していた岡本由佳研究員の「表情アイコンによるネットワーク状況認知の考察」の研究からヒントを得ています。

[2004Apr07] ソフトウェアシンポジューム2004 : 2004年6月21日から6月24日まで岡山コンベンションセンターで開催される、 Software Symposium 2004 (主催ソフトウェア技術者協会) にて研究成果を発表します。

[2004Mar17] FIRST Conference 2004 : 16th Annual Computer Security Incident Handling Conference ( Budapest, Hungary June 13-18, 2004 ) にて研究成果を発表します。

[2003Sep27] 8/3 --- 8/31日までの Port 135のグラフを掲載します。Blasterの立ち上がり、夏季休暇の終了、亜種の発生などがよくわかります。

[2004Jan09] JPCERTコーディネーションセンター発表と警察庁@police発表のデータの食い違いとIWR aka WCLSCAN の状況について

JPCERT/CCと@policeでは前者がPingパケットに反応するタイプ（ICMPのEcho Request 対しReplyを返す）、後者が反応しないタイプです。なぜそうしたのかの情報を双方とも出していないのでわかりませんが、とにかくそうなっています。

IWR aka WCLSCANは、ネットワーク上でその検知ボックスの存在を知られることはない、つまりネットワーク的に存在していない、という設計思想に基づいています。完全にインターネット中をランダムに飛び交うパケットの到着を観測に使っています。具体的にはLinux Boxを用いて下記のような方法ですべてのパケットをリジェクトしています。

  iptables -F INPUT
  iptables -A INPUT  -i eth0 -j LOG
  iptables -A INPUT  -i eth0 -j REJECT

今回の件に関しては本システムは動作的には@policeと同じです。また傾向に関しても@policeと同じです。当然、Nachiのようなマシンの存在を確認した後に攻撃するような手法を取っているものに関しては、取れるデータが違ってきますが、いずれにせよ最初の探知に関しては検知ボックスに届くので、何か通常ではないパケット到着は発生していることを推定することは可能です（ただし、現在はICMPを対象にはしていません）。

[2003Dec16] WCLSCANセンサーがwww.sco.comへの攻撃を確認

送付元アドレスを偽造しSYN Flood Attackが行われるとbackscatterという現象が現われるのが知られています。WCLSCANセンサーは2003年12月14日午後6時 23分46秒と51秒にwww.sco.comへ攻撃を行われた際に発生したと思われる backscatter パケットを検知しました。

  wclscan,dec,14,18:23:46,1990/tcp,216.250.128.12,80,220.110.1.197,1990
  wclscan,dec,14,18:23:51,1990/tcp,216.250.128.12,80,220.110.1.197,1990
  $ host 216.250.128.12
  12.128.250.216.in-addr.arpa domain name pointer www.sco.com.

[2003Nov05] 携帯電話からの確認ができるようになる。

Internet Weather Report aka WCLSCANの検知情報が携帯からも確認できるようになりました。簡易HTML 版 ( NTT ドコモ iモード / vodafone J-スカイ改めvodafone live!) と HDML 版 ( KDDI au EZWeb ) があります。 Lは危険度レベル、Pはポート番号、Bはベイズ推定値、Cは本日のカウント数です。危険度レベル1が「緊急性が高い」、レベル2が「注意喚起」、レベル3が「推移を見守る」ぐらいの意味です。尚、本日のカウント数は、午前0時を起点にカウントしていますので、危険度のレベルが高いけれども、カウント数が少ない場合もあります。

[2003Nov05] 検知したパケットのトップ10

検知したパケットのトップ10 の棒グラフ (3日以内、7日以内、30日以内) を表示します。

[2003Oct29] WCLSCAN公開実験開始

広域アラートシステム WCLSCANを開発していますが、そのプロトタイピングレベルが終了しました。現在、検知したパケットから、ベイズ推論を使い攻撃を自動的に発見する実験を行っています。ここに推論結果のデータとグラフを公開しておきます。 IWR aka WCLSCANの詳細はここへ。