DNSトラフィックに着目したボット検出手法の検討 福岡工業大学 情報工学部 情報工学科 比嘉久登
目次 はじめに ボットとは ボットネットとは ボットの特徴 ボットの感染経路 DNSトラフィックに着目したボット検出 まとめ
はじめに OSやソフトウェアの脆弱性を利用し感染を拡大 する有害プログラム(ワームやウイルス等)によ る被害が増加している。特に、ボットによる被害 が近年増加している。ボットは、亜種が出現する スピードが極めて早く、パターン・ファイルを作 成してボットを検出することが追い付いていない のが現状である。 本研究では、Wiresharkを用いてDNSトラフィック を収集し、そのトラフィックからDNSにクエリした 数を集計、または、ブラックリストとの照合を行 うことで、ボットの検出手法を検討する。
ボット、ボットネットとは ボットとは、コンピュータを悪用することを目的 に作られたプログラムで、コンピュータに感染す ると、インターネットを通じて悪意を持った第三 者が、感染したコンピュータを外部から遠隔操作 することを目的として作成された悪性プログラム のことを指す ボットネットとは、ボットに感染したコンピュー タで構成されるネットワークのことを指す
ボットの特徴 ボットの特徴として、以下の4つがある 感染していることに気づきにくい 自動で機能追加をする 種類が多い 犯罪目的
感染していることに気づきにくい ボットは、感染したとしても従来のウイルス/ ワームに比べて目に見える特別な症状が現れない ことが多く、感染前との差異を感じることなくコ ンピュータを使用できるなど、ユーザに感染を気 づかせない特徴を持っている
自動で機能追加をする ボットは、自分自身を自動的にアップデートする 機能を使って、新しい機能を追加したり自身の不 具合を修正することができる
種類が多い ボットのソースコードやボットを簡単に作成する ツールがインターネット上に公開されているため、 一つのボットを元にした数多くの亜種が作成され ています。これらの亜種の多さが、ウイルス対策 ソフトによるボットの駆除を困難にしている
犯罪目的 ボット作成者は、ボットネット(ボットによる ネットワーク)を時間単位で迷惑メールの配信会 社にに貸し出したり、盗み出した個人情報を販売 するなど、ボットを犯罪に利用し利益を得ること を目的としている
ボットの感染経路 ボットの主な感染経路には、以下の5つがある ネットワーク感染型 メール添付感染型 Web閲覧感染型 Web誘導感染型 外部記憶媒体感染型
ネットワーク感染型 Windows等の基本ソフトや、その他のプログラム のセキュリティホール(脆弱性)や設定の不備を 悪用し感染するタイプ インターネット等のネットワークに接続するだけ で感染する
メール添付感染型 メールの添付ファイルをクリックし感染するタイ プ
Web閲覧感染型 ブラウザで閲覧したホームページに埋め込まれた ウイルスをダウンロードして感染するタイプ ホームページを見ただけで感染することもある
Web誘導感染型 迷惑メールのURL等をクリックしてアクセスした ホームページからウイルスをダウンロードして感 染するタイプ
外部記憶媒体感染型 USBメモリ、デジタルカメラ、ミュージックプ レーヤーなどの外部記憶媒体を介在して感染する タイプ
DNSトラフィックに着目したボット検出 本研究では、DNSトラフィックに着目してボット を検出する方法を検討する 手順として 得られたトラフィックから、ドメインの次数を 集計(重複するIPアドレスからの同じドメイ ンへのクエリは、次数1として数える) 検出の検討
DNSトラフィックの収集 Wiresharkを使用 Wiresharkで収集したデータ
ドメインの次数を集計 Wiresharkにより、収集したトラフィックから、ド メインの次数を集計 ドメイン名 次数 fit.ac.jp 7788 Jyoto.fit.jp 165 www.consortium-fukuoka.jp 108 Bene.fit.jp 82 w64.ziyoulonglive.com www.kyushu-ccc.jp 81 w63.ziyoulonglive.com 78 w62.ziyoulonglive.com 77 w61.ziyoulonglive.com 71 次数の収集結果(上位9)
検出の検討 以下のような検出を検討している ドメインの次数による検出 ブラックリストとの照合による検出
ドメインの次数による検出 次数の多いドメインをボットと判断して検出 ドメイン名 次数 fit.ac.jp 7788 Jyoto.fit.jp 165 www.consortium-fukuoka.jp 108 Bene.fit.jp 82 w64.ziyoulonglive.com www.kyushu-ccc.jp 81 w63.ziyoulonglive.com 78 w62.ziyoulonglive.com 77 w61.ziyoulonglive.com 71
ブラックリストとの照合による検出 nothink.orgで公開されているDNSネットワーク トラフィックのブラックリストなどを用いてボッ トを検出 http://www.nothink.org/ ブラックリスト
まとめ 本研究では、DNSトラフィックを収集し、次数やブ ラックリストを用いての検出を検討したが、以上 に挙げた検出法では、すべてのボットを検出する ことはできないと考えられるため、今後は、より 良い検出法を検討していきたいと思う。
ご清聴ありがとうございました