CHƯƠNG 4. PHƯƠNG PHÁP PHÁT HIỆN MÁY TÍNH BỊ NHIỄM MÃ ĐỘC DGA…
4.4 Thử nghiệm và đánh giá
4.4.1 Dữ liệu thử nghiệm
Nghiên cứu sinh và nhóm nghiên cứu đã quyết định phát triển bộ dữ liệu MalDGA riêng biệt để kiểm chứng hiệu quả của phương pháp BotFighter mà tác giả đề xuất, nhằm khắc phục các giới hạn của bộ dữ liệu hiện có. Trong Chương 2 và Chương 3, các bộ dữ liệu trước đây chỉ cung cấp danh sách các tên miền do các DGA Botnet tạo ra, được thu thập từ hai nguồn chính: Suspicious DGA từ hệ thống Passive DNS của 360 NetLab [75] và bộ tên miền DGA từ OSINT DGA feed [38].
Tuy nhiên, các bộ dữ liệu này chỉ bao gồm các tên miền mà không cung cấp thông tin chi tiết về chuỗi truy vấn DNS bao gồm cả yêu cầu và phản hồi của một máy tính—thông tin cần thiết cho phương pháp BotFighter để phân tích một cách hiệu quả.
Để phát hiện các thiết bị nhiễm DGA Botnet, phương pháp BotFighter yêu cầu đầu vào là chuỗi truy vấn DNS theo thời gian từ các thiết bị đó, dưới dạng file PCAP ghi lại lịch sử truy vấn DNS. Mặc dù dự án Malware Capture Facility của Stratosphere IPS [76] đã cung cấp một nguồn dữ liệu quý giá bằng cách thu thập và phân tích lưu lượng mạng DNS từ các thiết bị bị nhiễm Botnet, bộ dữ liệu này vẫn chưa đáp ứng đủ yêu cầu chuyên biệt của chúng tôi. Trong Chương 3, tác giả đã sử dụng dữ liệu DNS của các thiết bị bị nhiễm mã độc như Shifu, Tinba, Necurs và Locky từ bộ dữ liệu này để đánh giá mô hình LSTM.MI. Tuy nhiên, các bộ dữ liệu này chủ yếu tập trung vào hoạt động mạng của Botnet nói chung, và chỉ một số ít trong số đó liên quan trực tiếp đến DGA Botnet.
Ngoài ra, luận án cũng khai thác bộ dữ liệu mà BotDAD [66] và DeepDAD [73]
sử dụng trong nghiên cứu của họ, bao gồm lưu lượng mạng thu thập ngẫu nhiên trong 10 ngày từ một khuôn viên ký túc xá của một trường đại học. Bộ dữ liệu này,
DGArchive
[80]. Tuy nhiên, số lượng mẫu nhiễm quá ít khiến việc đánh giá chính xác hiệu quả của phương pháp trở nên khó khăn.
Do đó, việc phát triển bộ dữ liệu MalDGA riêng biệt giúp nghiên cứu sinh tạo ra một môi trường kiểm thử chính xác hơn, từ đó đánh giá triệt để tiềm năng và hiệu quả của phương pháp BotFighter trong việc phát hiện và chống lại các mối đe dọa từ DGA Botnet. MalDGA bao gồm cả lưu lượng DNS bình thường (máy tính hoạt động bình thường) và lưu lượng DNS độc hại (máy tính bị nhiễm mã độc). Lưu lượng DNS bình thường được thu thập từ 50 thiết bị đều được bảo vệ bởi phần mềm diệt virus. Hơn nữa, các máy tính này đều được được theo dõi thường xuyên bởi chuyên gia bảo mật để xác minh tính an toàn của thiết bị. Lưu lượng DNS độc hại được thu thập từ các máy ảo windows được cài đặt các tệp mã độc được tải xuống từ trong virusshare.com. Tổng cộng có 20 họ mã độc DGA khác nhau được chạy để thu thập dữ liệu, lưu lượng DNS độc hại sau đó được kết hợp với lưu lượng DNS thông thường để mô phòng hành vi mạng của các thiết bị [66]. Lưu lượng được chia thành các tệp PCAP, mỗi tệp là tập hợp truy vấn DNS trong khoảng 2 giờ của một máy tính.
Bộ dữ liệu MalDGA tổng cộng có 2780 mẫu an toàn và 9577 mẫu độc hại, chi tiết xem Bảng 4.1 dưới đây. Trong đó, #Mẫu là số lượng mẫu thu thập của một họ DGA, #Biến thể là số lượng biến thể của mã độc đó, và #Request là số lượng truy vấn DNS mà mã độc đó thực hiện. Như đã thấy, các họ mã độc có mức độ phức tạp đa dạng. Ví dụ, Conficker biến thể A tạo ra một nhóm 250 tên miền trên 5 TLD.
Các DGA như Chinad, Emotet, Murofet, Necurs, Nymain, Ranbyus, Shifu, Simda tạo ra hàng ngàn tên miền mỗi ngày, trong khi Banjori, Cryptolocker, Locky, Qadars và Zerus có các con số tương ứng là 92, 262, 55, 22 và 30. W32.Virut sử dụng SSL để xây dựng kết nối bảo mật với máy chủ C&C. Ramnit phân phối đồng đều qua các ký tự và có thể không tạo ra NXDOMAIN trong quá trình truyền thông.
Matsnu và Suppobox nối từ từ một từ điển để tạo ra tên miền. Tinba sở hữu hàng
Banjori 431 1 46 40 No
Chinad 453 3 213 – 1337 198 – 1329 No
Conficker 438 3 105 – 208 98 - 191 No
Cryptolocker 434 1 262 256 No
Emotet 418 1 957 93 No
Locky 438 1 55 24 No
Matsnu 504 1 197 131 Yes
Murofet 482 2 838 – 882 825 No
Mydoom 513 3 94 – 443 41 - 810 No
Necurs 419 1 1199 1180 No
Nymaim 482 2 21917 – 62658 21896 - 62479 No
Qadars 425 1 22 0 No
Ramnit 504 5 11 – 186 0 - 40 No
Ranbyus 441 1 4262 4236 No
Shifu 568 8 995 – 14059 303 - 4185 No
Simda 449 2 43129 – 89011 38830 - 66268 No
Suppobox 668 67 20 - 2449 20 -1618 Yes
Tinba 565 41 47 - 40180 47 - 36414 No
Virus 442 1 205 198 No
Zeus 412 1 30 29 No
Ngoài bộ dữ liệu MalDGA, nghiên cứu này cũng đưa vào thử nghiệm bộ dữ liệu Adversarial DGA. Điều này xuất phát từ giả định rằng các hacker sẽ không ngừng nâng cao và cải tiến các mã độc DGA để chúng có khả năng vượt qua các hệ thống phòng thủ và phát hiện hiện tại. Vì vậy, nhằm kiểm tra khả năng đối phó của BotFighter trước những thách thức mới, nghiên cứu sinh đã quyết định áp dụng thử nghiệm trên bộ dữ liệu Adversarial DGA. Đây là bộ dữ liệu gồm các truy vấn DNS được sinh ra bởi mã độc DGA, nhưng đã được tinh chỉnh thông qua các kỹ thuật tấn công đối kháng (Adversarial attack) để khiến chúng trở nên khó phát hiện hơn.Trong lĩnh vực nghiên cứu về DGA, tấn công đối kháng là các kỹ thuật sử dụng mô hình học sâu để tạo ra tập tên miền có thể đánh lừa bộ phân loại tên miền. Một số loại DGA sinh ra từ kỹ thuật này có thể kể đến là Charbot [67], DeepDGA [40] và
MaskDGA[68]. Charbot tạo ra tên miền bằng cách thay đổi 2 ký tự trong một tên miền ngẫu nhiên từ danh sách 10,000 tên miền hợp lệ của Alexa và thêm TLD. Điều này làm cho tên miền có đặc tính thống kê gần giống với tên miền bình thường, khó bị phát hiện. MaskDGA sử dụng mô hình học máy và ánh xạ Jacobi để thêm nhiễu loạn vào các tên miền của một loại DGA. Phương pháp này giúp kẻ tấn công vượt qua các bộ phân loại mà không cần kiến thức về chúng. DeepDGA dựa trên Mạng Đối địch Sinh (GAN). Nó điều chỉnh mô hình phân biệt bằng cách huấn luyện trên cả các mẫu được tạo ra hiện tại và lịch sử mẫu của các tên miền.
Bảng 4.2. Tóm tắt của bộ dữ liệu dựa trên Adversarial DGA bao gồm các mẫu của Necurs, Suppobox, Qadars. Đối với mỗi mẫu, các domain được truy vấn được thay
thế bằng những domain được tạo ra bởi CharBot, DeepDGA và MaskDGA.
Malware family Charbot DeepDGA MaskDGA
Necurs 419 419 419
Qadas 425 425 425
Zeus 412 412 412
Tuy nhiên, hiện tại không có mã độc thực tế nào đã biết sử dụng Adversarial DGA, Charbot, DeepDGA và MaskDGA thực chất là các phương pháp sinh tên miền, không phải một loại mã độc thực sự có khả năng hoạt động độc lập và gửi/nhận thông tin với máy chủ C&C. Do đó, bộ dữ liệu này đã được tạo ra bằng cách sử dụng các mẫu của Necurs, Zeus và Qadars, trong đó tên miền được truy vấn đã được thay thế bằng những tên miền được tạo ra bởi ba Adversarial DGA:
CharBot, DeepDGA và MaskDGA. Necurs, Zeus và Qadars là ba gia đình mã độc đại diện với số lượng phản hồi NXDOMAIN khác nhau mỗi giờ, thể hiện các mức độ phức tạp khác nhau để hệ thống phòng thủ nhận diện. Thông tin chi tiết có thể được tìm thấy trong Bảng 4.2.
lượng mẫu Safe và Infected được phát hiện đúng. FP là số lượng mẫu Safe bị xác định sai là Infected, trong khi FN là số lượng mẫu Infected bị xác định sai là Safe.
Rõ ràng Precision là tỷ lệ số mẫu DGA được phân loại đúng trên tổng số mẫu được phân loại là DGA. Recall là tỷ lệ số mẫu DGA được phân loại đúng trên tổng số mẫu DGA. F1-score là giá trị trung bình điều hoà giữa Precision và Recall.
Bên cạnh các thông số trên, một thông số sau cũng được sử dụng để đánh giá hiệu năng của phương pháp. Thời gian phát hiện DGA (Time to Correct Detection - TCD) được sử dụng để trả lời cho câu hỏi về mức độ phản ứng nhanh chóng của phương pháp trong việc phát hiện thiết bị bị nhiễm mã độc theo thời gian thực. TCD đề cập đến khoảng thời gian tính từ lần truy vấn DNS đầu tiên được gửi bởi một bot và thời điểm mà phương pháp xác định được máy tính đó bị nhiễm mã độc.
4.4.3 Các phương pháp phát hiện khác
Ý tưởng kết hợp giữa kết quả của bộ phân loại LSTM và tần suất truy vấn DNS cũng được áp dụng trong nhiều phương pháp để phát hiện liên tục bot. Trong thực nghiệm, nghiên cứu sinh sẽ đánh giá hiệu năng của BotFighter với các phương pháp khác bao gồm Navie Integration, Temporal Integration và NXDOMAIN-based Integration. Trong đó Navie Integration và Temporal Integration được điều chỉnh từ công việc của Sim và cộng sự [69]. Cả hai phương pháp đều sử dụng kết quả phân loại của LSTM để đưa ra quyết định hệ thống có đang bị nhiễm mã độc DGA hay không.
Navie Integration sử dụng trực tiếp kết quả của bộ phân loại LSTM đối với một quan sát DNS duy nhất tại bất kỳ thời điểm nào, nếu xác suất hệ thống an toàn nhỏ hơn một ngưỡng nhất định, hệ thống bị xem là đã nhiễm mã độc. Giá trị tốt nhất của ngưỡng được xác định thông qua thực nghiệm.
𝑃(𝑠' = 𝑆𝑎𝑓𝑒|𝐷') = 𝑃(𝑠' = 𝑆𝑎𝑓𝑒|𝑑') (4.14) Temporal Integration: quan sát DNS bằng cách sử dụng các quy tắc kết hợp phân loại khác nhau, chẳng hạn như quy tắc max, mix và average. Quy tắc max giống với Navie Integration, trong khi quy tắc min có thể tạo ra một lượng lớn False Negatives. Quy tắc average đã được chứng minh là đáng tin cậy hơn các quy tắc khác vì nó ít dễ bị lỗi ước lượng hơn [70]. Đặt N là số quan sát trong một khung thời gian nhất định. Bằng cách sử dụng quy tắc trung bình, chúng ta có:
1 𝑃(𝑠 = 𝑆𝑎𝑓𝑒|𝐷 ) = W1
6 𝑃(𝑠 = 𝑆𝑎𝑓𝑒|𝑑 ) (4.15)
' '
𝑁 #$% ' '
Nếu giá trị này nhỏ hơn một ngưỡng nhất định, hệ thống bị xem là nhiễm mã độc DGA.
NXDOMAIN-based Integration lấy ý tưởng từ công việc của Thakar và cộng sự [71]. Cụ thể, nó kiểm tra lưu lượng DNS để tính toán số lượng NXDOMAIN (#NXDOMAIN) mỗi giờ. Thiết bị được đánh giá là bị nhiễm nếu số này lớn hơn một ngưỡng xác định trước, tức là:
𝑃(𝑠' = 𝑆𝑎𝑓𝑒|𝐷') = â0, 𝑛ế𝑢 𝑠ố 𝑝ℎả𝑛 ℎồ𝑖 𝑁𝑋𝐷𝑂𝑀𝐴𝐼𝑁/𝑔𝑖ờ ≥ 𝜏
(4.16)
NXDOMAIN-based Integration đã được tích hợp trong các chương trình máy tính để phát hiện hành vi DGA [72], và cung cấp một giải pháp đơn giản để xử lý bot có số lượng các phản hồi NXDOMAIN lớn.
4.4.4 Phân tích, đánh giá
Bộ dữ liệu MalDAG đã được sử dụng để đánh giá các đặc điểm khác nhau của BotFighter. Phương pháp này có một tham số có thể được điều chỉnh, được biết đến là 𝜆, đại diện cho số lượng trung bình của NXDOMAIN mỗi giờ. 𝜆 có ảnh hưởng đến xác suất chuyển trạng thái 𝑝 và hiệu suất của BotFighter.
Hình 4.3. Precision, Recall và F1-score của BotFighter với các giá trị 𝜆 khác
nhau trong khoảng từ 1 đên 10
Theo Hình 4.3, một giá trị 𝜆 lớn dẫn đến Recall nhỏ hơn và Precision cao hơn.
Bởi vì 𝜆 và 𝑝 có tỷ lệ nghịch với nhau như công thức (4.9), điều này là điều chúng ta mong đợi. Từ công thức (4.12), việc tăng 𝜆 có thể giảm 𝑝, dẫn đến giảm 𝑃(𝑠' = 𝑆𝑎𝑓𝑒|𝐷') và số lượng False Positives. Tuy nhiên, đáng chú ý rằng thay đổi trong 𝜆 không gây ra thay đổi đột ngột trong F1-score. BotFighter có F1-score cao nhất (0.9967) ở 𝜆 = 5.
Bảng 4.3. TP, FP, TN, FN, Precision, Recall và F1-score của BotFighter và các
phương pháp phát hiện khác
TP FP TN FN Precision Recall F1-score Navie Integration 8439 255 2647 1016 0.9707 0.8925 0.9300
Temporal Integration 7450 14 2766 2127 0.9981 0.7779 0.8744
NXDOMAIN-based Integration 8749 9 2771 828 0.9990 0.9135 0.9543
BotFighter 9548 34 2746 29 0.9965 0.9970 0.9967
Bảng 4.3 so sánh BotFighter với các phương pháp hiện khác dựa trên TP, FP, TN, FP, Precision, Recall, và F1-score của chúng. F1-score thấp nhất (0.8792) được đạt được bởi Temporal Integration. Navie Integration (F1-score 0.9350) đứng ngay sau đó. Cả hai Temporal Integration và Navie Integration dựa vào LSTM để phát hiện và không xem xét hành vi của mã độc. Temporal Integration tính tổng của xác suất hậu nghiệm qua một khoảng thời gian như công thức (4.15), dẫn đến một TP tương đối thấp. Navie Integration có F1-score cao hơn nhưng với giá của FP cao. FP của NXDOMAIN-based Integration là 9. Tuy nhiên, giá trị này có thể thay đổi tùy thuộc vào ngưỡng quyết định được chọn. BotFighter là phương pháp tốt nhất với F1-score đạt 0.9967, cao hơn đáng kể các phương pháp còn lại và cũng là phương pháp phát hiện nhiều mã độc nhất.
Ngược lại, FP gây vấn đề cho người dùng hợp lệ bằng cách chặn hoặc cách ly thiết bị của họ khỏi hệ thống mạng. Lý tưởng là 𝑃(𝑠' = 𝑆𝑎𝑓𝑒|𝐷')) phải bằng 1. Như có thể thấy, 𝑃(𝑠' = 𝑆𝑎𝑓𝑒|𝐷') được tính toán bằng Navie Integration và Temporal Integration thay đổi lớn tùy thuộc vào xác suất dự đoán của LSTM. Navie Integration phân loại thiết bị an toàn thành Infected tương ứng với 𝑃(𝑠' = 𝑆𝑎𝑓𝑒|𝐷') bị giảm xuống 0 sau 1,350 phút. BotFighter có 𝑃(𝑠' = 𝑆𝑎𝑓𝑒|𝐷') gần bằng 1, trừ thời điểm người dùng nhập sai tên miền. Lúc đó, một NXDOMAIN không nguy hại được trả về, và 𝑃(𝑠' = 𝑆𝑎𝑓𝑒|𝐷') giảm xuống 0.912. Giá trị của 𝑃(𝑠' = 𝑆𝑎𝑓𝑒|𝐷') sau đó tăng dần lên giá trị lý tưởng của 1. Quan sát này nhấn mạnh những lợi ích của BotFighter. Đặc biệt, BotFighter có thể giảm số lượng False Positives khi được sử dụng trong các hệ thống thực tế nơi các phản hồi NXDOMAIN không nguy hại không xảy ra thường xuyên.
(a) Navie Integration
(b) Temporal Integration
(c) NXDOMAIN-based Integration
(d) BotFighter Hình 4.4. Xác suất 𝑃(𝑠' = 𝑆𝑎𝑓𝑒|𝐷') của một thiết bị an toàn trong khoảng thời
gian 3,500 phút.
Hình 4.5 mô tả các quan sát DNS của một thiết bị bị nhiễm Mydoom khi mã độc này bắt đầu hoạt động (khoảng 30 phút). Temporal Integration không thể cung cấp phát hiện chính xác. Navie Integration mất 35 phút để đưa ra quyết định. BotFighter phát hiện Mydoom sớm hơn so với ba phương pháp khác. đó. Một 𝑃(𝑠' = 𝑆𝑎𝑓𝑒|𝑑') cao, ngược lại, có thể dẫn đến một giá trị thấp hơn cho 𝑃(𝑠' = 𝑆𝑎𝑓𝑒|𝐷') hiện tại. Hành vi dao động của BotFighter có thể suy luận từ công thức (4.10). Tại thời điểm t, 𝑃(𝑠' = 𝑆𝑎𝑓𝑒|𝐷')) tỉ lệ thuận với xác suất hậu nghiệm
𝑃(𝑠 = 𝑆𝑎𝑓𝑒|𝑑), và 𝑃(𝑠 = 𝑆𝑎𝑓𝑒|𝐷) tại thời điểm 𝑡 − 1.
(a) Navie Integration
(b) Temporal Integration
(c) NXDOMAIN-based Integration
(d) BotFighter Hình 4.5. Xác suất 𝑃(𝑠' = 𝑆𝑎𝑓𝑒|𝐷') của một thiết bị bị nhiễm mã độc
Mydoom trong khoảng thời gian 80 phút.
Tỷ lệ True Positive (TPR) cho từng họ mã độc được hiển thị trong Bảng 4.4.
Temporal Integration, kết hợp các quan sát DNS bằng cách sử dụng một quy tắc tổng hợp đơn giản, là bộ phát hiện kém nhất. Temporal Integration có thể giảm FP nhưng mất thêm thời gian để xác định được máy tính đã bị nhiễm mã độc DGA. Dễ dàng nhận thấy, các DGA Botnet dựa trên từ điển, như Matsnu và Suppobox, là thách thức cho cả Navie Integration và Temporal Integration. Ngoài ra, những phương pháp này thực hiện khá kém trên Mydoom. Emotet không được nhận biết bởi Temporal Integration. NXDOMAIN-based Integration là một lựa chọn thay thế tốt hơn so với hai phương pháp Navie Integration và Temporal Integration. Nó có TPR là 100% trên hầu hết các họ mã độc DGA Botnet có tần suất truy vấn NXDOMAIN ngắn. Tuy nhiên, NXDOMAIN-based Integration gặp khó khăn với Ramnit và Qadars. Có 5 biến thể của Ramnit. Trong khi mỗi biến thể có hành vi truy vấn DNS độc đáo, hầu hết chúng chỉ tạo ra một số lượng hữu hạn NXDOMAIN. Qadars khác biệt từ các họ mã độc khác vì tất cả các tên miền của nó đều có phản hồi NOERROR (xem Bảng 4.1). BotFighter rõ ràng vượt trội hơn ba phương pháp khác. Đối với tất cả các họ mã độc nó luôn đạt được TPR cao nhất.
Riêng đối với Ramnit, Navie Integration đạt tỷ lệ nhận cao nhất. Tuy nhiên cần lưu ý rằng thuật toán DGA của Ramnit sử dụng phân phối đồng đều các chữ cái để tạo ra tên miền, điều này khiến nó dễ dàng bị LSTM nhận diện. BotFighter nhằm mục tiêu cung cấp một sự cân bằng giữa FP và FN. Do đó, nó có thể giảm FP trong khi giữ nguyên tỷ lệ phát hiện đáng kể đối với Ramnit.
Bảng 4.4 cũng trình bày Thời gian Phát hiện Chính xác (TCD) của BotFighter và các phương pháp phát hiện khác. Đây là chỉ số quan trọng để đánh giá tốc độ phản ứng của các phương pháp trong quá trình giám sát và phát hiện liên tục trên thiết bị bị nhiễm mã độc. Nếu TCD quá cao, phương pháp sẽ không thực sự hữu ích trong thực tế. BotFighter và Navie Integration có khả năng phản ứng nhanh chóng đối với các loại mã độc như Banjori, Cryptolocker, Locky, Murofet, Necurs,
2560.26 giây. Nguyên nhân là do thuật toán sinh tên miền của các loại mã độc này dựa trên từ điển,
nên việc nhận diện qua phân loại tên miền trở nên khó khăn. Điều này cũng là thách thức đối với hai phương pháp Navie Integration và Temporal Integration, vì cả hai đều dựa vào bộ phân loại tên miền sử dụng LSTM. TCD của NXDOMAIN-based Integration hoàn toàn phụ thuộc vào tần suất truy vấn DNS của mã độc DGA. Nếu DGA có tần suất truy vấn DNS thấp, NXDOMAIN-based Integration sẽ không hiệu quả. Trừ Ramnit, BotFighter liên tục đạt được TCD thấp hơn so với NXDOMAIN- based Integration. Tuy nhiên, cần lưu ý rằng NXDOMAIN-based Integration chỉ nhận diện được 20% mẫu của Ramnit.
Bảng 4.4. TPR (True Positive Rate) và TCD (Time to Correct Detection) của BotFighter và các phương pháp phát hiện khác đối với các họ mã độc khác nhau.
Malware family
Navie Integration Temporal
Integration
NXDOMAIN- based Integration BotFighter TPR(%) TCD
(s) TPR
(%) TCD
(s) TPR
(%) TCD
(s) TPR
(%) TCD
(s) Banjori 98.38 0.00 97.22 575.63 100 0.87 100 0.09
Chinad 98.90 60.00 99.78 1878.85 100 92.83 100 80.98
Conficker 98.63 62.34 97.26 2903.49 100 114.10 100 80.98
Cryptolocker 97.93 0.00 98.39 590.73 100 6.42 100 0.09
Emotet 97.85 62.97 0.00 N/A 100 97.90 100 63.31
Locky 98.40 0.00 87.90 593.95 100 29.71 100 2.59
Matsnu 1.98 5232.26 0.00 N/A 100 284.25 100 192.01
Murofet 98.76 0.00 100.00 174.18 100 17.49 100 0.07
Mydoom 34.11 4772.48 0.20 2453.35 100 1023.03 100 560.43
Necurs 97.85 0.00 100.00 480.73 100 24.16 100 0.04
Nymaim 98.13 0.00 100.00 10.61 100 1.36 100 0.27
Qadars 98.11 0.00 79.06 600.70 0.00 N/A 99.76 46.49
Ramnit 100 7.27 94.44 7602.28 20.04 101.98 94.44 7602