ＤＮＳトラフィックに着目したボット検出手法の検討

Slides:

Advertisements

Similar presentations

情報セキュリティ読本情報セキュリティ読本 – プレゼンテーション資料 - 1 情報セキュリティ読本 - IT 時代の危機管理入門 - プレゼンテーション資料（第 1 章 IT （情報技術）に潜む危険）

Advertisements

情報処理第２回：ネットワークへの接続 Apr. 22, 本講義に毎回必ず持ってくるものノートパソコン本体筆記用具教科書  教職必修情報機器の操作  情報モラル＆情報セキュリティ全学認証 ID 配布票（個人情報なので，大切に扱うこと）電源ケーブル LAN ケーブルマウス.

Information-technology Promotion Agency, Japan Copyright © 2004 独立行政法人情報処理推進機構独立行政法人情報処理推進機構セキュリティセンター日本国内におけるコンピュータウイルスの発見届出状況について 2004 年 11 月 25.

コンピュータウイルス～ウイルスの感染を防ぐには～. （ 1 ）コンピュータウイルスとはどんなものなのか、どんな被害を及ぼすのかを知る。（ 2 ）コンピュータウイルスに感染しないための方法を知る。１課題ウイルスの感染を防ぐには.

Alexa Internet （アレクサインターネット）は、カリフォルニア州サンフランシスコに本社を置くインターネット関連企業。 1996 年に設立され、 1999 年に Amazon.com の傘下となった。事業内容は、ウェブ巡回技術を使ってウェブサイト情報や利用状況に関するデータを集め、ウェブサイトがどれだけの人に見られているかを調査すること。

ネットワーク社会の情報倫理第４章コンピュータウィルス［近代科学社刊］. ４. １有害なプログラムコンピュータウィルスワームトロイの木馬スパイウェア・アドウェアデマウィルスマルウェア (mal-ware) → 有害なプログラムの総称（ mal ：悪意を持った）マルウェアの種類.

情報倫理とメディアリテラシー第 1 章ネットワーク社会と情報化社会. ネットワーク社会携帯電話コンピュータテレビ家電カーナビなどネットワーク新たなコミュニケーションの場.

システム案内.

ご提案書『ホテルインターネットサービスソリューション』

コンピュータウィルス.

Global Ring Technologies

情報基礎A 情報科学研究科徳山　豪.

情報セキュリティ読本 - IT時代の危機管理入門 -

コンピュータウィルスと脆弱性メディアコミュニケーション論Ⅲ 7/18/08.

Flashプレイヤーを使った動画配信情報工学科宮本崇也.

Android と iPhone （仮題）情報社会とコンピュータ第１３回

受動的攻撃について Eiji James Yoshida penetration technique research site

シニア情報生活アドバイザー養成講座 2014年5月28日吉田圭助

Zeusの動作解析 S08a1053 橋本　寛史.

電子社会設計論第１１回 Electronic social design theory

「絵葉書を通じてのハルビンの街の印象調査」システムUIの iPadアプリ化谷研究室　　飯　祐貴.

オンライン英単語・リスニング学習ソフト佐々木研究室 N02k1114 北隅　麻実.

ネット時代のセキュリティ２（脅威の例）２ＳＫ　情報機器工学.

コンピュータウイルス～ウイルスの感染を防ぐには～

情報セキュリティ読本三訂版 - IT時代の危機管理入門 -

中学校「総合的な学習の時間」基礎講座本庄市立本庄南中学校第一学年.

Webサイト運営 09fi118 橋倉伶奈 09fi131 本間昂 09fi137 三上早紀.

[オンライン学習に登録] [情報ネットワークを安全に利用しよう]

Netscape Communicator Eudora Microsoft Word

コンピュータウィルスと脆弱性情報社会と情報倫理第13回.

第2章第1節情報通信の仕組み 4 暗号技術と情報の保護 5 コンピュータとネットワークの管理

於：県立中村高等学校同朋学園本部事務局河邊憲二

インターネット社会の脅威（インターネット社会のセキュリティ）開始再生時間：５分２０秒.

第５章情報セキュリティ（前半）［近代科学社刊］

セキュリティ・チェックリスト解説【５～10分】

インターネット活用法～ブラウザ編～ 09016　上野喬.

コンピュータウイルスはこうしてやってくる！～コンピュータウイルスの手口の理解～

コンピュータウイルスはこうしてやってくる！～コンピュータウイルスの手口の理解～

情報セキュリティ読本四訂版 - IT時代の危機管理入門 -

ランサムウエア（身代金要求型不正プログラム）に注意！

Java ソフトウェア部品検索システム SPARS-J のためのリポジトリ自動更新機能の実現

ネットワークセキュリティグループ　J

ウィルス河野　裕哉.

コンピュータウィルス～ウィルスへの対処編～

情報セキュリティ - IT時代の危機管理入門 -

１１．Webサイトとデータベース， Webサイト＋ブログシステムの開設手順例

ウイルスについて I98N044 久野耕介 I98N114 藤田和久

Leap Motionを用いた実世界指向アプリランチャの設計と開発

ウイルス対策ウイルスから他人と自分を守る玉川医師会（医）小倉病院縄嘉津記

サイバーセキュリティバッファオーバフロー

セキュリティ 05A2013 大川内　斉.

Cisco Umbrella のご紹介 2018 年 1 月.

インターネット利用法実習経営工学基礎演習ａ（第3週）.

ＶＩＲＵＳ.

Web - 01 IIS をインストールしよう.

Webコミュニティ概念を用いた Webマイニングについての研究 A study on Web Mining Based on Web Communities 清水洋志.

エピソード記憶に訴えるBookmarkless Bookmarkの実現

A18 スパムサーバの調査～ボットを見抜けるか？～

DNSクエリーパターンを用いたOSの推定

インターネット　　　　　　　　　　　　サーバーの種類チーム　俺春.

情報セキュリティ - IT時代の危機管理入門 -

コンピュータ　リテラシー担当教官　　河中.

中等情報化教育Ⅱ -情報化が社会に及ぼす影響と課題-

社会と情報情報社会の課題と情報モラル情報化が社会に及ぼす影響と課題

第一回情報セキュリティ０５A1027 後藤航太.

福岡工業大学情報工学部情報工学科種田研究室于聡

ウィルスの感染先探索活動を可視化するツール“PacketViewer”の開発

マルウェアへの対策.

中等情報科教育Ⅱ 情報セキュリティの確保.

情報モラル０６情報セキュリティ.

Presentation transcript:

ＤＮＳトラフィックに着目したボット検出手法の検討福岡工業大学情報工学部情報工学科比嘉久登

目次はじめにボットとはボットネットとはボットの特徴ボットの感染経路ＤＮＳトラフィックに着目したボット検出まとめ

はじめに OSやソフトウェアの脆弱性を利用し感染を拡大する有害プログラム（ワームやウイルス等）による被害が増加している。特に、ボットによる被害が近年増加している。ボットは、亜種が出現するスピードが極めて早く、パターン・ファイルを作成してボットを検出することが追い付いていないのが現状である。本研究では、Wiresharkを用いてDNSトラフィックを収集し、そのトラフィックからDNSにクエリした数を集計、または、ブラックリストとの照合を行うことで、ボットの検出手法を検討する。

ボット、ボットネットとはボットとは、コンピュータを悪用することを目的に作られたプログラムで、コンピュータに感染すると、インターネットを通じて悪意を持った第三者が、感染したコンピュータを外部から遠隔操作することを目的として作成された悪性プログラムのことを指すボットネットとは、ボットに感染したコンピュータで構成されるネットワークのことを指す

ボットの特徴ボットの特徴として、以下の４つがある感染していることに気づきにくい自動で機能追加をする種類が多い犯罪目的

感染していることに気づきにくいボットは、感染したとしても従来のウイルス/ ワームに比べて目に見える特別な症状が現れないことが多く、感染前との差異を感じることなくコンピュータを使用できるなど、ユーザに感染を気づかせない特徴を持っている

自動で機能追加をするボットは、自分自身を自動的にアップデートする機能を使って、新しい機能を追加したり自身の不具合を修正することができる

種類が多いボットのソースコードやボットを簡単に作成するツールがインターネット上に公開されているため、一つのボットを元にした数多くの亜種が作成されています。これらの亜種の多さが、ウイルス対策ソフトによるボットの駆除を困難にしている

犯罪目的ボット作成者は、ボットネット（ボットによるネットワーク）を時間単位で迷惑メールの配信会社にに貸し出したり、盗み出した個人情報を販売するなど、ボットを犯罪に利用し利益を得ることを目的としている

ボットの感染経路ボットの主な感染経路には、以下の５つがあるネットワーク感染型メール添付感染型 Web閲覧感染型 Web誘導感染型外部記憶媒体感染型

ネットワーク感染型 Windows等の基本ソフトや、その他のプログラムのセキュリティホール（脆弱性）や設定の不備を悪用し感染するタイプインターネット等のネットワークに接続するだけで感染する

メール添付感染型メールの添付ファイルをクリックし感染するタイプ

Web閲覧感染型ブラウザで閲覧したホームページに埋め込まれたウイルスをダウンロードして感染するタイプホームページを見ただけで感染することもある

Web誘導感染型迷惑メールのURL等をクリックしてアクセスしたホームページからウイルスをダウンロードして感染するタイプ

外部記憶媒体感染型 USBメモリ、デジタルカメラ、ミュージックプレーヤーなどの外部記憶媒体を介在して感染するタイプ

ＤＮＳトラフィックに着目したボット検出本研究では、DNSトラフィックに着目してボットを検出する方法を検討する手順として得られたトラフィックから、ドメインの次数を集計（重複するＩＰアドレスからの同じドメインへのクエリは、次数１として数える）検出の検討

DNSトラフィックの収集 Wiresharkを使用 Wiresharkで収集したデータ

ドメインの次数を集計 Wiresharkにより、収集したトラフィックから、ドメインの次数を集計ドメイン名次数 fit.ac.jp 7788 Jyoto.fit.jp 165 www.consortium-fukuoka.jp 108 Bene.fit.jp 82 w64.ziyoulonglive.com www.kyushu-ccc.jp 81 w63.ziyoulonglive.com 78 w62.ziyoulonglive.com 77 w61.ziyoulonglive.com 71 次数の収集結果（上位９）

検出の検討以下のような検出を検討しているドメインの次数による検出ブラックリストとの照合による検出

ドメインの次数による検出次数の多いドメインをボットと判断して検出ドメイン名次数 fit.ac.jp 7788 Jyoto.fit.jp 165 www.consortium-fukuoka.jp 108 Bene.fit.jp 82 w64.ziyoulonglive.com www.kyushu-ccc.jp 81 w63.ziyoulonglive.com 78 w62.ziyoulonglive.com 77 w61.ziyoulonglive.com 71

ブラックリストとの照合による検出 nothink.orgで公開されているＤＮＳネットワークトラフィックのブラックリストなどを用いてボットを検出 http://www.nothink.org/ ブラックリスト

まとめ本研究では、DNSトラフィックを収集し、次数やブラックリストを用いての検出を検討したが、以上に挙げた検出法では、すべてのボットを検出することはできないと考えられるため、今後は、より良い検出法を検討していきたいと思う。

ご清聴ありがとうございました