卒业研究进捗.ppt

福岡工業大学情報工学部　上園詩織 エミュレーションを使ったボットのトラフィック特性について ボットネットとは 研究の目的 開発環境 RUBOTによる実験１　IRCBot RUBOTによる実験２　HTTPBot 検討 今後の課題 攻撃者 サーバー Dos攻撃 フィッシングサイトの開設 スパムメールの送信 個人情報の漏えい ゾンビパソコン：感染したＰＣ ゾンビパソコンへ命令 一斉に命令を 実行する ボット検出 ボットのバージョンアップ、亜種の発生 ボット活動パターンを観察する 開発環境　：Fedora15　使用言語：Ruby1.9.2 使用ツール：Rubot0.0.1, ngircd17, Wireshark Ue:自分 Hexybot001 Hexybot002 . . . Hexybot100 Hello Hello Hello Hello Hello Hello Hello IRC ngircd ngircd Hexybot001 Hexybot002 . . . Hexybot100 Hello Hello Hello Hello Hello Hello ボット ボットマスター Ue:自分 botmaster 命令 ngircd ngircd start Hello IRC 他の通信と一緒にデータ収集 IRCBotのトラフィック トラフィック量がIRCのみでは一定に近い 命令の始まり、終わりでのみ大きく変化が現れる HTTP Webページ 攻撃対象の指定情報など含む WEBrickを使った Webサーバー WEBrick Rubyのフレームワークで、単純にＨＴＴＰWebサーバーを作ることができる。 ５秒ごとに Webページを読み込む ７秒ごとに Webページを読み込む httpbot1 httpbot2 HTTPBotのトラフィック ある程度一定のトラフィック量となっている。 一つだけの場合は一定時間ごとに変化が現れる。 同じような通信手順を何度も繰り返している パケット長に大きな分散がないこと 時間単位での類似性 データ量の類似性から検討 送信元ＩＰを二つ以上持つ宛先ＩＰの抽出 一定時間ごとに情報量の分散を求める サーバーの監視 P2P型ボットやワームボット等 他のボットによる検証 提案手法の実装 IRCBot　HTTPBotによるスパムメール送信等のテスト ボットネット * ボットネットは攻撃者（ボットマスター）によって制御される感染したホストの集団である。 これらのネットワークは複数の管理ゾーンに分散させる傾向にあり、ボットの完全な識別はとて * トラフィック特性での改善提案を検討しているため、ボットネットの動作によるトラフィックの変化についても記録し、調査を行う。 トラフィック特性を用いたボットネット検出 トラフィックの特性を知るためにもさまざまなパターンの。 ボットネットエミュレーションの使用。 * ボットネットエミュレーションフレームワーク ＩＲＣ?ＨＴＴＰ?Ｐ２Ｐ?Ｗｏｒｍなどのボットネットを仮想的に作り、ボットとしての動作を行える。 * * * * ７秒ごとに読み込む * * 今回の実験結果でIRC、HTTPボットは、同じような通信手順を何度も繰り返していること、パケット長に大きな分散がないことが分かった サーバーの監視 送信元ＩＰを二つ以上持つ宛先ＩＰの抽出 それぞれの通信の情報量の分散を求める * * ボットネット * ボットネットは攻撃者（ボットマスター）によって制御される感染したホストの集団である。 これらのネットワークは複数の管理ゾーンに分散させる傾向にあり、ボットの完全な識別はとて * トラフィック特性での改善提案を検討しているため、ボットネットの動作によるトラフィックの変化についても記録し、調査を行う。 トラフィック特性を用いたボットネット検出 トラフィックの特性を知るためにもさまざまなパターンの。 ボットネットエミュレーションの使用。 * ボットネットエミュレーションフレームワーク ＩＲＣ?ＨＴＴＰ?Ｐ２Ｐ?Ｗｏｒｍなどのボットネットを仮想的に作り、ボットとしての動作を行える。 * * * * ７秒ごとに読み込む * * 今回の実験結果でIRC、HTTPボットは、同じような通信手順を何度も繰り返していること、パケット長に大きな分散がないことが分かった サーバーの監視 送信元ＩＰを二つ以上持つ宛先ＩＰの抽出 それぞれの通信の情報量の分散を求める * *