🏮 🏤 🤝 Palantir：ボットネットを検出する方法 👨‍👩‍👧 😽 ❔

2009年、中国のサイバーインテリジェンスは、パランティールのすべてを見る目の力を体験しました。 Information Warfare Monitorのアナリストは、中国の主要なintelligence 報活動であるGhostnetとShadow Networkを発見しました。（レポート）

Edisonとともに、Parantirシステムの機能の調査を続けています。

「人間の脳とコンピューターが密接に接続されるまでに数年が残され、結果として生じるパートナーシップが人間の脳は決してできないと考え、私たちに知られていない方法でデータを処理することを願っ ています。」 数年前、彼はアメリカの一流大学で情報技術学科を開始し、ARPANETの構築を開始しました。 「人々は目標を設定し、仮説を立て、基準を定義し、評価を実行します。 コンピューターは、技術的および科学的分野での発見への道を切り開くために日常業務を行います。」

「人間とコンピューターの相補性は、世界的な事実だけではありません。 また、ビジネスを成功させるための道でもあります。 PayPalでの私自身の経験からこれを実現しました。 2000年代半ばに、ドットコムバブルの崩壊を生き延びた当社は急速に成長しましたが、1つの深刻な問題が心配でした。クレジットカード詐欺のため、月に1,000万ドル以上を失いました。 1分間に数百、数千もの転送を行うと、それぞれを物理的に追跡することができませんでした。コントローラーのチームはその速度で作業できませんでした。 「私たちは、エンジニアのチームが私たちの代わりに行うことを行いました。自動化されたソリューションを見つけようとしました。」
ピーター・ティエルは、パランティールを設立しました。

カットされているのは、金融分析ツールを使用してボットネットを開く方法に関するケースです。
ケースは「架空」ですが、スクリーンショットには2009年のデータが含まれています。

（翻訳を手伝ってくれたVorsin Alexeyに感謝します）

0:00このビデオでは、Palantir財務分析製品を使用して、長期にわたって構造化された非財務データを探索する方法を示します。
0:09正確には、Parantir FinanceとPalantir Govermentを使用した一定量のサイバーデータの分析に基づいて、ボットネット攻撃の可能性があることを示します。
0:16データは、4日間でルーターによって拒否された接続に関するすべての情報になります。
0:22アナリストがどのようにデータを調べ、疑わしいものを調べるかを確認します。
0:28オブジェクトの全体にわたって非常に一般的なレベルで開始し、フィルターを一度に1つずつ追加していきます。
0:35下のボックスには、フィルタリングされたオブジェクトが表示されます。
0:41開始するために、拒否された接続のデータを、それらが向けられたポートによって配信します。これはフィルターを使用して行います。
0:48データを調査するための多くの種類のフィルターがあります。

0:51データプロパティでフィルタリングできます。これには、画面上部の左側にあるフィルターを使用します。
0:54ヒストグラムおよびその他のフィルターを使用した数値による。
0:58タイムラインフィルターを使用した時間ベースのプロパティ。
1:01すべての宛先ポートで拒否された接続の数を調べたいので、「ポートの宛先別」フィルタを追加します。
1:10ヒストグラムフィルターは、宛先ポートごとの分布を示します。

1:14さまざまなポートグループがX軸上にあり、Y軸上には、ポートバケットで固定されている接続の数が表示されます。

1:21ヒストグラムは、いくつかの異なることを示しています。まず、ほとんどすべてのポートが関係していることがわかります。
1:27アクティビティの最大集中は5000までのポートで顕著です。このセグメントには、HTTPのADポートやTelnetのポート23など、最も一般的に使用されるポートが含まれるため、理にかなっています。

1:37最大の列を見てみましょう。
1:41下のボックスを見ると、この列はポート1434を指していることがわかります。これは、このポートがMS SQLに使用され、多くの場合、SQL slammerワームのターゲットであるためです。

1:51番号が大きいポートは正当な目的にはあまり使用されないため、これらのポートセグメントの1つを調べます。
1:56ポートセグメントをクリックして、このセグメントのオブジェクトで結果をフィルタリングできます。
2:00このセグメントには複数のポートが含まれる場合がありますが、関心があるのは1つだけです。
2:07ヒストグラムの選択関数の1つであるズームを使用できます。
2:09増加すると、ポート18100がほとんどすべての接続を担当していることがわかります。

2:15このポートを割り当てて、アドレス指定された接続を調べます。
2:20これらの接続がIPアドレスによってどのように分散されるかを見てみましょう。
2:25カテゴリフィルターを追加して、このセグメント（ポート）を対象とするすべてのIPアドレスを表示できます。
2:30ほとんどすべての接続が同じIPにアドレス指定されていることがわかります。

2:33このアドレスを強調表示して、関連付けられている接続のみを表示します。
2:37次に、これらの接続を表示されるまでに調べます。
2:41「接続時間」フィルターを追加してこれを行います。

2:45接続全体が10時間以内に発生し、接続数が増加し、ピークに達し、最終的には無駄になったことがわかります。

2:53これは興味深い例です。後で説明します。
2:56データをよりよく理解するために、これらの接続のソースを調べてみましょう。特に、接続時間ごとにIPアドレスや送信元ポートなどの接続の特性を確認する必要があります。
3:07散布図フィルターでこれを調べることができます。
3:12 X軸の場合は時間を、Y軸の場合は接続ソースのポートを使用します。
3:20 3番目の軸として色を使用できます。値は接続元のIPアドレスです。
3:31これは、同じソースIPアドレスが同じ色で強調表示されることを意味します。
3:37ここで興味深いことがわかります。一部のポートは少数のIPアドレスのみをターゲットとしており、同様の色のドットが水平方向にのみ表示されています。

3:47他の多くのポートが、IPアドレスの配列全体のターゲットであると思われました。
3:52また、いくつかの斜めのオレンジ色のストライプを見ることができます。それらをより詳しく調べてみましょう。
4:00バンドが斜めになっているという事実は、接続ソースのポート番号が常に増加していることを意味します。

4:06バンドの色が近いという事実は、接続が同じIPアドレスからのものであることを意味します。
4:09それらに集中できるかどうか見てみましょう。
4:13まず、ストリップを選択します。ストリップからいくつかの番号を選択したら、接続ソースのIPアドレスでフィルターを追加できます。

4:23そして、これらすべての接続が同じIPからのものであることがわかります。

4:29このIPを選択し、このフィルターを別のフィルターの上に配置して、散布図の結果を絞り込むことができます。
4:35カテゴリー別にフィルターを折りたたんで、このIPアドレスでのみ散布図を表示できます。

4:41このIPアドレスは、間違いなく異なる送信ポートに時間をかけてリダイレクトしていることがわかります。これは、従来のポートスキャン動作です。
4:50この作業により、疑わしいアクティビティが明らかになりました。多くの異なるIPが周期的に存在し、多くのポートを介して短時間で1つのIPと1つのポートに接続することを目的としていました。
5:02ここで、Palantir Govermentを使用して、このデータを長期にわたって地理的に分析します。

5:06 Palantir Financeで興味深いと思われるデータのサブセットを圧縮するフィルターを作成しました。フィルタパラメータは、「接続」オブジェクトであり、IPアドレス25.134.141.209およびポート18100を対象としています。

5:20フィルター結果がグラフに表示されました。

5:25タイムラインを開くと、Parantir Financeで見たものと似ていることがわかります。
5:30これらのオブジェクトをマップにドラッグして、これらの接続のIPアドレスの場所を確認します。

5:37色を使用したヒートマップは、接続の密度を確認するのに役立ちます。

5:42中国で最も高い密度が見られます。
5:47タイムラインを使用して、イベントがどのように発生したかを確認できます。
5:51時間枠を作成して移動し、ヒートマップがどのように反応するかを確認します。

5:57接続は中国で始まり、日本とインドネシアに広がり、その後南アメリカ、ヨーロッパ、オーストラリアの地域に広がります。
6:11最後に、接続のペースが低下すると、再び中国とインドネシアに集中します。
6:23このタイムラインとアクティベーションパターンは、ボットネット攻撃についてかなり明確です。攻撃が開始され、それに関与するコンピューターの数が増えると、各コンピューターが異なる数の接続を試行するか、異なる速度で接続しようとするため、接続の数はピークまで増加し、その後徐々に減少します。
6:40この作業セッションでは、Parantir Financeを使用して大量のデータを調査し、フィルターを使用してデータのサブセットに正常に縮小しました。
6:49データのいくつかの特性を確認し、疑わしいアクティビティを特定できました。
6:56 Palantir GovermentのPalantir Financeで作業の結果を公開しました。これにより、地理的および時間的分析が可能になり、イベントの発生状況を視覚化できるようになりました。
7:05最終的に、分析の結果、アクティビティが公開されました。これは、ボットネット攻撃である可能性が非常に高いです。
7:11大量の接続データからボットネット攻撃の特性を明らかにするために使用したのと同じ手法を使用して、ネットワーク上の他の悪意のあるアクティビティを検出することができます。ソーシャルエンジニアリングなど。
7:26このすべて：統合されたPalantir Cyberオファーは、政府および商業機関が直面している最も負担の大きいオンラインタスクに取り組むためのターンキーソリューションです。

Palantirの詳細：

エジソンと一緒に、春の出版マラソンを続けます。

IT技術の源泉の底辺に行き、彼らがどのように考え、どの概念が先駆者の心の中にあったのか、彼らが夢見たもの、未来の世界を見た方法を理解しようとします。なぜ彼らは「コンピューター」、「ネットワーク」、「ハイパーテキスト」、「インテリジェンスアンプ」、「集団問題解決システム」、これらの概念にどのような意味を持ち、結果を達成したいのかを考えました。

これらの資料が、「スクラッチからユニットへ」（これまで言及されていなかったものを作成するために）どのように進むべきか疑問に思う人々のインスピレーションとして役立つことを願っています。 ITと「プログラミング」が単なる「生地のコーディング」でなくなり、世界の問題を解決し、課題に答える試みとして、戦争教育の方法、私たちが協力し、考え、コミュニケーションする方法を変えるための手段として考えられたことを思い出してください人類に直面しています。そのようなもの。

3月0日シーモア・パペット
3月1日ゼロックスアルト
3月2日「コールジェイク」。 NICおよびRFCの歴史
3月3日グレース「グラニーCOBOL」ホッパー
3月4日、マーガレットハミルトン：「男の子、月に送ります」
3月5日、 Hedy Lamarr。そして、裸の女性と魚雷で映画を撮影して敵を撃つ
3月7日ゴージャスシックス：熱核爆発を数えた少女たち
3月8日「ビデオゲーム、私はあなたの父親です！」
3月9 日、誕生日おめでとう、ジェフラスキン
3月14日ジョセフ「リック」リクリダー：「銀河間コンピューターネットワーク」と「人間とコンピューターの共生」
3月15日ヴァニバーブッシュ：「どうすれば考えられるか」（考えられるように）
3月16 日ハッピーバースデー、リチャードストールマン
3月21日ダグラスエンゲルバート：「すべてのデモの母」パート1

Palantir：ボットネットを検出する方法

More articles: