DNSトラフィックに着目したボット検出手法の検討

Slides:



Advertisements
Similar presentations
情報セキュリティ読本 情報セキュリティ読本 – プレゼンテーション資料 - 1 情報セキュリティ読本 - IT 時代の危機管理入門 - プレゼンテーション資料 (第 1 章 IT (情報技術)に潜む危険)
Advertisements

情報処理 第2回:ネットワークへの接続 Apr. 22, 本講義に毎回必ず持ってくるもの ノートパソコン本体 筆記用具 教科書  教職必修 情報機器の操作  情報モラル&情報セキュリティ 全学認証 ID 配布票 (個人情報なので, 大切に扱うこと) 電源ケーブル LAN ケーブル マウス.
Information-technology Promotion Agency, Japan Copyright © 2004 独立行政法人 情報処理推進機構 独立行政法人 情報処理推進機構 セキュリティセンター 日本国内における コンピュータウイルスの発見届出状況について 2004 年 11 月 25.
コンピュータウイル ス ~ウイルスの感染を防ぐには~. ( 1 )コンピュータウイルスとはどんなもの なのか、 どんな被害を及ぼすのかを知る。 ( 2 )コンピュータウイルスに感染しないた めの 方法を知る。 1 課 題 ウイルスの感染を防ぐに は.
Alexa Internet (アレクサ インターネット)は、カリフォルニア州サンフランシスコに本 社を置くインターネット関連企業。 1996 年に設立され、 1999 年に Amazon.com の傘下と なった。 事業内容は、ウェブ巡回技術を使ってウェブサイト情報や利用状況に関するデータを集 め、ウェブサイトがどれだけの人に見られているかを調査すること。
ネットワーク社会の 情報倫理 第4章 コンピュータウィルス [近代科学社刊]. 4. 1 有害なプログラム コンピュータウィルス ワーム トロイの木馬 スパイウェア・アド ウェア デマウィルス マルウェア (mal-ware) → 有害なプログラムの総称 ( mal :悪意を持っ た) マルウェアの種類.
情報倫理と メディアリテラシー 第 1 章 ネットワーク社会と情報化社 会. ネットワーク社会 携帯電話 コンピュー タ テレビ 家電 カーナビ など ネットワーク 新たなコミュニケーションの場.
システム案内.
ご提案書 『ホテル インターネットサービスソリューション』
コンピュータウィルス.
Global Ring Technologies
情報基礎A 情報科学研究科 徳山 豪.
情報セキュリティ読本 - IT時代の危機管理入門 -
コンピュータウィルスと脆弱性 メディアコミュニケーション論Ⅲ 7/18/08.
Flashプレイヤーを使った動画配信 情報工学科 宮本 崇也.
Android と iPhone (仮題) 情報社会とコンピュータ 第13回
受動的攻撃について Eiji James Yoshida penetration technique research site
シニア情報生活アドバイザー養成講座 2014年5月28日 吉田 圭助
Zeusの動作解析 S08a1053 橋本 寛史.
電子社会設計論 第11回 Electronic social design theory
「絵葉書を通じてのハルビンの 街の印象調査」システムUIの iPadアプリ化 谷研究室  飯 祐貴.
オンライン英単語・リスニング 学習ソフト 佐々木研究室 N02k1114 北隅 麻実.
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
コンピュータウイルス ~ウイルスの感染を防ぐには~
情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -
中学校「総合的な学習の時間」 基礎講座 本庄市立本庄南中学校 第一学年.
Webサイト運営 09fi118 橋倉伶奈 09fi131 本間昂 09fi137 三上早紀.
[オンライン学習に登録] [情報ネットワークを安全に利用しよう]
Netscape Communicator Eudora Microsoft Word
コンピュータウィルスと脆弱性 情報社会と情報倫理 第13回.
第2章 第1節 情報通信の仕組み 4 暗号技術と情報の保護 5 コンピュータとネットワークの管理
於:県立中村高等学校 同朋学園本部事務局 河邊憲二
インターネット社会の脅威 (インターネット社会のセキュリティ) 開始 再生時間:5分20秒.
第5章 情報セキュリティ(前半) [近代科学社刊]
セキュリティ・チェックリスト解説 【5~10分】
インターネット活用法 ~ブラウザ編~ 09016 上野喬.
コンピュータウイルスは こうしてやってくる! ~コンピュータウイルスの手口の理解~
コンピュータウイルスは こうしてやってくる! ~コンピュータウイルスの手口の理解~
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
ランサムウエア (身代金要求型不正プログラム)に注意!
Java ソフトウェア部品検索システム SPARS-J のための リポジトリ自動更新機能の実現
ネットワークセキュリティ グループ J
ウィルス 河野 裕哉.
コンピュータウィルス ~ウィルスへの対処編~
情報セキュリティ - IT時代の危機管理入門 -
11.Webサイトとデータベース, Webサイト+ブログシステムの開設手順例
ウイルスについて I98N044 久野耕介 I98N114 藤田和久
Leap Motionを用いた実世界指向 アプリランチャの設計と開発
ウイルス対策 ウイルスから他人と自分を守る 玉川医師会 (医)小倉病院 縄 嘉津記
サイバーセキュリティ バッファオーバフロー
セキュリティ 05A2013 大川内 斉.
Cisco Umbrella のご紹介 2018 年 1 月.
インターネット利用法実習 経営工学基礎演習a(第3週).
VIRUS.
Web - 01 IIS を インストールしよう.
Webコミュニティ概念を用いた Webマイニングについての研究 A study on Web Mining Based on Web Communities 清水 洋志.
エピソード記憶に訴えるBookmarkless Bookmarkの実現
A18 スパムサーバの調査 ~ボットを見抜けるか?~
DNSクエリーパターンを用いたOSの推定
インターネット             サーバーの種類 チーム 俺 春.
情報セキュリティ - IT時代の危機管理入門 -
コンピュータ リテラシー 担当教官  河中.
中等情報化教育Ⅱ -情報化が社会に及ぼす影響と課題-
社会と情報 情報社会の課題と情報モラル 情報化が社会に及ぼす影響と課題
第一回 情報セキュリティ 05A1027 後藤航太.
福岡工業大学 情報工学部 情報工学科 種田研究室 于 聡
ウィルスの感染先探索活動を可視化するツール“PacketViewer”の開発
マルウェアへの対策.
中等情報科教育Ⅱ 情報セキュリティの確保.
情報モラル06 情報 セキュリティ.
Presentation transcript:

DNSトラフィックに着目したボット検出手法の検討 福岡工業大学 情報工学部 情報工学科 比嘉久登

目次 はじめに ボットとは ボットネットとは ボットの特徴 ボットの感染経路 DNSトラフィックに着目したボット検出 まとめ

はじめに OSやソフトウェアの脆弱性を利用し感染を拡大 する有害プログラム(ワームやウイルス等)によ る被害が増加している。特に、ボットによる被害 が近年増加している。ボットは、亜種が出現する スピードが極めて早く、パターン・ファイルを作 成してボットを検出することが追い付いていない のが現状である。 本研究では、Wiresharkを用いてDNSトラフィック を収集し、そのトラフィックからDNSにクエリした 数を集計、または、ブラックリストとの照合を行 うことで、ボットの検出手法を検討する。

ボット、ボットネットとは ボットとは、コンピュータを悪用することを目的 に作られたプログラムで、コンピュータに感染す ると、インターネットを通じて悪意を持った第三 者が、感染したコンピュータを外部から遠隔操作 することを目的として作成された悪性プログラム のことを指す ボットネットとは、ボットに感染したコンピュー タで構成されるネットワークのことを指す

ボットの特徴 ボットの特徴として、以下の4つがある 感染していることに気づきにくい 自動で機能追加をする 種類が多い 犯罪目的

感染していることに気づきにくい ボットは、感染したとしても従来のウイルス/ ワームに比べて目に見える特別な症状が現れない ことが多く、感染前との差異を感じることなくコ ンピュータを使用できるなど、ユーザに感染を気 づかせない特徴を持っている

自動で機能追加をする ボットは、自分自身を自動的にアップデートする 機能を使って、新しい機能を追加したり自身の不 具合を修正することができる

種類が多い ボットのソースコードやボットを簡単に作成する ツールがインターネット上に公開されているため、 一つのボットを元にした数多くの亜種が作成され ています。これらの亜種の多さが、ウイルス対策 ソフトによるボットの駆除を困難にしている

犯罪目的 ボット作成者は、ボットネット(ボットによる ネットワーク)を時間単位で迷惑メールの配信会 社にに貸し出したり、盗み出した個人情報を販売 するなど、ボットを犯罪に利用し利益を得ること を目的としている

ボットの感染経路 ボットの主な感染経路には、以下の5つがある ネットワーク感染型 メール添付感染型 Web閲覧感染型 Web誘導感染型 外部記憶媒体感染型

ネットワーク感染型 Windows等の基本ソフトや、その他のプログラム のセキュリティホール(脆弱性)や設定の不備を 悪用し感染するタイプ インターネット等のネットワークに接続するだけ で感染する

メール添付感染型 メールの添付ファイルをクリックし感染するタイ プ

Web閲覧感染型 ブラウザで閲覧したホームページに埋め込まれた ウイルスをダウンロードして感染するタイプ ホームページを見ただけで感染することもある

Web誘導感染型 迷惑メールのURL等をクリックしてアクセスした ホームページからウイルスをダウンロードして感 染するタイプ

外部記憶媒体感染型 USBメモリ、デジタルカメラ、ミュージックプ レーヤーなどの外部記憶媒体を介在して感染する タイプ

DNSトラフィックに着目したボット検出 本研究では、DNSトラフィックに着目してボット を検出する方法を検討する 手順として 得られたトラフィックから、ドメインの次数を 集計(重複するIPアドレスからの同じドメイ ンへのクエリは、次数1として数える) 検出の検討

DNSトラフィックの収集 Wiresharkを使用 Wiresharkで収集したデータ

ドメインの次数を集計 Wiresharkにより、収集したトラフィックから、ド メインの次数を集計 ドメイン名 次数 fit.ac.jp 7788 Jyoto.fit.jp 165 www.consortium-fukuoka.jp 108 Bene.fit.jp 82 w64.ziyoulonglive.com www.kyushu-ccc.jp 81 w63.ziyoulonglive.com 78 w62.ziyoulonglive.com 77 w61.ziyoulonglive.com 71 次数の収集結果(上位9)

検出の検討 以下のような検出を検討している ドメインの次数による検出 ブラックリストとの照合による検出

ドメインの次数による検出 次数の多いドメインをボットと判断して検出 ドメイン名 次数 fit.ac.jp 7788 Jyoto.fit.jp 165 www.consortium-fukuoka.jp 108 Bene.fit.jp 82 w64.ziyoulonglive.com www.kyushu-ccc.jp 81 w63.ziyoulonglive.com 78 w62.ziyoulonglive.com 77 w61.ziyoulonglive.com 71

ブラックリストとの照合による検出 nothink.orgで公開されているDNSネットワーク トラフィックのブラックリストなどを用いてボッ トを検出 http://www.nothink.org/ ブラックリスト

まとめ 本研究では、DNSトラフィックを収集し、次数やブ ラックリストを用いての検出を検討したが、以上 に挙げた検出法では、すべてのボットを検出する ことはできないと考えられるため、今後は、より 良い検出法を検討していきたいと思う。

ご清聴ありがとうございました