10秒後にhttp://clscan.sourceforge.jp/へジャンプします。

  • [2005Nov21] CLSCANの開発情報はsourceforge.jpへ移りました。 clscanプロジェクト

  • [2005Aug26] WCLSCANの最新情報はこちらに移動しました。 www.wclscan.org

    face
    [INFORMATION IN ENGLISH] About WCLSCAN (Slide pdf , Paper pdf ). Source codes are available from this page and GNOME IWR Applet page .

    WCLSCAN概念図


    携帯電話からのアクセス先URL
    簡易リスト iモード版 http://www.clscan.org/iwr/i.html
    または http://h2np.net/i/iwr.html
    EZweb http://www.clscan.org/iwr/ez.hdml
    または http://h2np.net/ez/iwr.hdml
    顔アイコン iモード http://www.clscan.org/f.html
    または http://h2np.net/i/f.html
    EZweb http://www.clscan.org/f.hdml
    または http://h2np.net/ez/f.hdml

    インターネット上のインシデント情報を解析するシステム

    [2005Aug26] WCLSCANの最新情報はこちらに移動しました。 www.wclscan.org

    本サイトは1999年よりインターネット上のインシデント情報を解析するシステ ムを研究開発してきた成果を公開しています。
    お知らせ: [2005Aug12]

    PC/PDAできれいに見える表 を作りました。表示されているポート番号 からportdb.orgへリンクしていて、どんな使われ方をしている ポートなのかがわかります。 また、ベイズ値やパケットのカウント数から変化グラフへのリンクも 作りました。
    WCLSCAN

    早期広域攻撃警戒システム : CLSCANでの知見をベースに早期攻撃広域警戒システムとして研究開発 しているシステムです。現在のインターネットの状態は本ページの 先頭に示しています。
    CLSCAN

    セキュリティログを解析するツール : 小規模なサイトや個人サイトで利用されているシステムです。

    問い合わせ先: すずきひろのぶ < hironobu @ h2np.net >

    早期広域攻撃警戒システム WCLSCAN



    WCLSCAN システム構成図

    WCLSCANの概念はCLSCANで培った技術を広域ネットワークへ広げたものです。 WCLSCANは広域ネットワーク上でパケット検出しデータベース化した後、統計 情報を抽出するシステムです。 現在、WCLSCANに ベイズ推測を用いて インターネット上でのインシデントの危険度を 自動的に察知する機能を加えた Internet Weather Report aka WCLSCAN が稼働しています。 直観的に現在のインターネット上の状況を理解できるようにページ左上にある 顔のアイコンが現在の 状況 を示しています。 またiモードやEZWebなどにも対応しており携帯からも確認できます。

  • 常にデスクトップ上に状況を表示するためのツール GNOME 2.6用のアプレット GNOME IWR Applet も用意しています。これはDebian GNU/Linux Sarge環境で動作すること を確認しました。

  • WCLSCANのソースコードは GPLライセンス のソフトウェアと して 公開 しています。

  • WCLSCANプロジェクトは企業や大学からの手弁当のボランティアによ り支えられているプロジェクトです。現在、3つの企業、4つの大学からの協力 のもとに進められています。 [MRI]

    セキュリティログを解析するツール clscan

    CLSCAN ( README )はNTT-ME MN8300W、BA800Pro、YAMAHA RTシリーズといったSOHO ルータのログやTCPWRAPPER、IP_Filter、iptablesといった色々な種類のフィ ルタが出力するログを解析するために作られた汎用のツールです。初公開日 は1999年10月29日なので、あしかけ5年近くになります。 出力はテキストモード、HTMLモード( サンプル )をサポートしています。 また簡単な統計情報( サンプル )を作成するstatform.plも含まれています。

    Perlが動作しているUNIXライクな環境(Linux、 各種BSD、 Solaris、HP/UX、 AIX、MacOS X、その他)であれば利用できます。 サポートはしていませんが、Microsoft WindowsファミリーでもPerlをインス トールしsyslogd相当のソフトウェアを動かせばCLSCANは使えます。

    CLSCANはライセンスとして GNU General Public License 2 を採用しているフリーソフトウェアです。

    最近の情報

    トピックス

    [2005Aug26] WCLSCANのサイトはこちらに移動しました。 www.wclscan.org

    [2005Jun25] IWR aka. WCLSCAN処理専用マシンをDual Opteronマシンへと強化しました。今 後のさらに多くのサービスを提供していく予定です。

    [2004Aug08] 国別発信元IPアドレス集計表 : 過去30日間にWCLSCANセンサーアレー群がキャッチしたIPアドレスを 国別に集計 してみました。ただし過度に国別の集計を重要視すべきではありません。 本来は近接したIPブロックアドレスへの影響を考えるべきだと考えるからです。 参考としてport 135を走査するワームがどのように広がったかを 示す 時系列アニメーション ( アニメーションGIFをZIPで圧縮しています。 約269KB ) を紹介します。 X/Y/Z軸をIPアドレスの1st/2nd/3rd octet目に割り当て、時間スケールは24時間、 期間は30日間です。 赤い柱のように近接アドレスブロックへ感染させようとするのがわかると思います。

    [2004Jul13] 最優秀発表賞受賞ほか : ソフトウェアシンポジューム2004 ( page ) で発表した「インターネット早期広域攻撃警戒システムWCLSCAN」 が最優秀発表賞を受賞しました。 また、FIRST Conference 2004, 16th Annual Computer Security Incident Handling Conference, Budapest, Hungary. ( page ) での発表を終えてきました。

    [2004May06] GNOME 2.6用のアプレットGNOME IWR Applet を作成 : GNOME 2.6用のアプレット GNOME IWR Applet を作成しました。GNOMEのアプレットとして、IWR aka WCLSCAN の結果を一定時間毎にモニターします。各ディストリビューション用 のパッケージなどは、まだ用意されていませんが、ソースコードはダウンロー ドできます。

    [2004Apr07] 直観的な理解を助けるアイコン : 現在のインターネットの状況が一目でわかるように、左上に顔のアイコンを 表示するようにしました。顔の種類と意味は こちらにあります。 これは、1991年前後にNeTSプロジェクトで共同研究していた岡本由佳研究員の 「表情アイコンによるネットワーク状況認知の考察」の研究からヒントを得ています。

    過去のトピックスはこちら

    CLSCANリリース情報

    [2004Jun01] clscan-02_18_RC1版 は、clscan.plとstatform.plにあったバグを修正し、 statform.plにオプションを加えました。できたばかりなので、RC1扱いにします。 安定していることが確認できれば02_18_1版とします。 ( 検証用GPG署名 )
    [2004May25] clscan-02_17_02版 ではインストール用config.shを少しアップデートしました。 ( 検証用GPG署名 )

    [2004Mar17] clscan-02_17_01版 を公開します。 マイナーな修正です。clscan-02_17版に新しく加わったmn8300w.{conf|pl}行 コードを変更したのと、ワーニングのエントリーにあったスペルミスを修正し ました。 ( 検証用GPG署名 ) ( 検証用GPG公開鍵 )
    NTT-ME MN8300W をサポートしました。このコードはShinichirou Ohhara氏より提供されました。

    [2003Apr21] 1つ前のリリース clscan-02_16版 ( 検証用GPG署名 ) ( 検証用GPG公開鍵 )

    CLSCANについての情報

    アラートってなに?

    アラートクラスとは攻撃意図を持っている可能性が高いポートへのアクセスで す。ワーニングクラスは攻撃意図が不明、あるいは脅威となるリスクが低いポー トへのアクセスです。 アラートクラスとワーニングクラスに分類されるアクセスに対する説明を ファイル whatisthis.html に納めています(2003/Nov/13 Updated)。 同じものは配付パッケージの/docに収められています。

    利用するサイトのセキュリティポリシーにより、 アラートとするものやワーニングとするものは異なります。 必要に応じて変更してください。 コンフィグで記述するチェックのクラス記述の 雛型( サンプル ) を 用意しました。参考としてお使いください。

    現在サポートしているもの

    ブロードバンドルータ NTT-ME MN8300W (新サポート) / NTT-ME BA8000Pro / I.O DATA NP-BBRシリーズ (NP-BBRE, BP-BBRS) / YAMAHA RTシリーズ (RTA54i)
    SOHO でよく使われるルータ MN128シリーズ / CISCO1003 / CISCO2500 / YAMAHA RTシリーズ / NetVehicle / NEC COMSTARZ
    UNIXシステムで使われるフィルタ TCP_WRAPPER / IP Filter / iptables (組込みLinuxで作られたルータを含む)

    ブロードバンドルータ

    最近のブロードバンドルータでもsyslogをサポートするものが色々出てきまし た。2003年4月現在で筆者が調べたり情報を寄せて頂いたものをリストアップ してみます。この表は各社の代表的なブロードバンドルータをリストアップし ています。この機種以外にもsyslogをサポートしているものもありますので、 詳しくは各社のWebサイトに当たってください。

    もしこれらの未サポートのブロードバンドルータでsyslogを取られている方が いらっしゃいましたら、ぜひともHack Hint のセクションを参照してclscanの パーサーを書いてみてください。

    ※ 中身がLinuxやFreeBSD/NetBSDであるようなルータはiptablesやip_filter のパーサーを使えば利用できます。

    I.O DATA
    NP-BBRS (*1)     		OMRON
    MRI104FH     		YAMAHA
    RTA54i (*2)
    ICOM
    SR-11FB     		マイクロリサーチ
    NetGenesis     		CENTURY SYSTSMS
    XR-300
    Center COM
    AR230E     		PCI
    BRL-04FA     		NTT-ME
    BA8000Pro
    MN8000, MN7000 (*3)

  • * 1 I.O DATA NP-BBREをサポートしているので、NP-BBRSでも利用できると 思います。
  • * 2 YAMAHA RTファミリとして設定することで利用できると思います。
  • * 3 NTT-ME MN8300Wをサポートしているので、MN8000ファミリ、MN7000ファミリーは利用できるかも知れません。

    • この他にもsyslogをサポートしているブロードバンドルータの情報を求めています。 syslogをサポートしている機種名を clscan2004 @ h2np .net までメールを頂ければ幸いです。

    現在の活動状況

  • WCLSCAN : 2005年8月現在、幾つかのセンサーボックスを稼働させた観測網が 稼働中です。本ページの先頭の情報は30分毎に更新されています。更にシステ ムを充実させるための活動を行っています。

  • CLSCAN: WCLSCANの方に集中してしまい、最近は停滞中です。次期CLSCAN に向けて構想を練っています。

    その他

    過去の発表など

  • 2004年12月3日に横浜パシフィコで開催された Internet Week 2004 Security Dayの 「日本国内における定点観測系の紹介とその活用方法」セッションに パネラーとして参加しました。 ハンドアウト資料 スライド資料 、そして 会場の様子 [ 1 ] [ 2 ] です。

  • ソフトウェアシンポジューム2004での発表では最優秀発表賞を頂きました。 アブストラクト ( pdf ) と 発表スライド ( pdf ) です。 発表デモで使った3Dアニメーション (約1.2MBのアーカイブを ダウンロード ) はパケット発信元IPアドレスを時系列で示しています。

  • ハンガリーのプタペストで開催されたFIRST Conference 2004, 16th Annual Computer Security Incident Handling Conference の採択論文 ( pdf ) と発表に使ったスライド ( pdf ) です。プレゼンテーションは石黒さん@三菱総研とすずきひろのぶが 一緒にしました。

  • プロジェクトメンバーである石黒さん(三菱総合研究所)が2004年1月の SCIS2004で発表した 「ベイズ推定に基づくインターネット攻撃検知システムの開発 ( 論文 / スライド )」 を公開します。 全体の概要、性能評価について分析しています。

  • 2001年9月27日の Linux Conference 2001 で 「セキュリティインシデントの現状とネットワーク環境におけるセキュリティ保全」 というテーマで講演した際に、 ルータのログから見たインシデントの発生の分析を行ないました。 この中でもCLSCANの紹介、WCLSCANの提唱をしました。 300Kほどの パワーポイントの プレゼンテーションファイル(約300KB) です。さらに PDF化したファイル (約600KB)を用意しました。

  • 2001年6月の ソフトウェア・シンポジウム2001@高知 でclscan関連の発表をしました。 CLSCANをベースに広域アラートWCLSCANへの拡張の提唱しました。 発表したプレゼンテーション( PDFファイル形式 パワーポイントスライド )

    Hack Hints for CLSCAN

    要はパケットフィルタリングでrejectされたデータの一覧を作っているだけで すから、すぐに拡張できます。 ハックヒント のページを参照ください。

    情報交換用メーリングリスト

    clscan ユーザが情報交換を行うためのメーリングリストを用意しました。 まずは登録するための ガイド を取得し、参考にして下さい。[2000Mar01より開始]

    関連情報

  • US-CERT のサイトには 現在アクティブなポートスキャンについて の解説があります。 [ こちら ]
  • インターネットストームセンター ( InternetStormCenter ) ではアタックされているトレンドを掲示しています。WCLSCANの傾向と 比較すると良いでしょう。 [ こちら ]
  • JPCERT/CCインターネット定点観測システム Internet Scan Data Acquisition System (ISDAS) [ こちら ]
  • 警察庁インターネット定点観測システム [ こちら ]
  • portsdb.orgにはポートに関する詳細な情報が掲載されており、 ポート番号から検索もできます。 未知のポートに対する不審なアクセスを調べるのに便利です。 [ こちら ] (情報提供: 寺田さん)
  • YAMAHA RT のWebページでも紹介されました。

    コンタクト先

    何かお気づきの点、バグ等のあれば下記送り先まで御連絡ください。

  • clscan2005 @ h2np . net
    $Id: index.html,v 3.2 2005/09/26 11:51:26 hironobu Exp hironobu $