ボットネットはいくつあるか?ダウンロードログからの線形独立な基底数 東海大学院 松尾峻治 菊池浩明 (株)日立製作所 寺田真敏
大規模BotNet-Donbot 2009年8月「Donbot」と呼ばれる大規模なボットネットが大量のスパムメールを配信した. ピーク時には1日に100億件のメールを配信したことが確認された. 2009/9/3 INTERNET Watch “ボットネットに関与したISPの接続停止で世界のスパムが38%減少” より
ボットネットの増加 ShadowServer –Botnet Chart より
研究の目的 ボットネットの実態を知るため,次の2つを本研究の目的とする. 独立したボットネットの個数 ボットネット間の勢力関係を明らかにする 利点 ハーダのトレースするためのIPの範囲がある程度わかる セキュリティへの活用 攻撃の予測ができる。
独立したボットネット ハーダ C&Cサーバ 勢力争い DLサーバ ゾンビ(感染ホスト) ボットネットB ボットネットA
仮定-1 サーバ郡は役割分担をしている. /毎時 /毎時 /毎時 ボットネット S1 S2 S3 PE型 WORM型 WORM型 PE型 仮定-1 サーバ郡は役割分担をしている. ボットネット S1 S2 S3 PE型 WORM型 WORM型 PE型 PE型 PE型 TROY型 TROY型 PE:Windows 95以降で実行可能なファイルをPEファイル(Portable Executive file)といい、このPEファイルに感染するウイルスをPE型ウイルスと呼ぶ。PEファイルの拡張子は「.EXE」で、Windows用のソフトウェアのほとんどがPEファイルで提供されている。感染したPEファイルを実行すると、感染したPEファイル自体のプログラムを書き換え、そのコンピューターで実行された他のPEファイルにも感染する。 WORM:マルウエアの一種。通信機能などを内蔵し、ネットワーク経由で他のコンピューターに自らをコピーし、実行する機能を持つものを言う。コピー先の拡大の様子がネットワークを這いずり回って増殖する生物のように見えることから、ミミズなどの足がなく長く柔らかい体を持つ生物の総称である「ワーム」の名がついた。 ワームが実行されると、通信や複製の動作によってコンピューター自身の処理やネットワークの通信に多大な負荷がかかるほか、ワームに内蔵された機能によってデータの破壊や情報漏洩などの被害が生じることもある。単体の実行ファイルとして存在し、コピー先でも自動的に実行される点で狭義のコンピューターウイルスと区別される。 TROY:コンピュータウイルスの一形態。普通のプログラムやファイルのように見せかけ、ユーザーが気がつかないうちに、何らかの破壊活動やデータを外部に流出させるなどの行動を取るプログラムを指す。 /毎時 /毎時 /毎時
ハニーポットによる観察 1,DLサーバの増加 2,DLサーバの減少 3,DLサーバの勢力争い ボットネットA ボットネットB データの混在 ????? ハニーポット
仮定-2 勢力変化の線形性 ボットネット サーバ S1 S2 S3 DL回数/毎時 3 1 ボットネット サーバ 日 勢力 S1 S2 S3 1日目 10 30 2日目 5 15 3日目 6 18
サーバSnからのマルウェアダウンロード回数 提案方式の原理 ボットネット (線形)合成 展開 (主成分分析) サーバSnからのマルウェアダウンロード回数 月 勢力 S1 S2 S3 S4 S5 S6 4月 10A 30 10 5月 7A+2B 21 7 8 4 2 6月 3A+3B 9 3 12 6 7月 2A+7B 28 14 8月 A+10B 1
提案方式の要素技術 基底A,Bを求める 主成分分析 係数y1、y2を求める 直交展開
実験 目的:提案方式の有効性を実データを用いて検証する。 もし仮定が正しければ 独立したボットネットに対応する基底u1、u2 が存在する。 勢力に対応する係数y1 、 y2 の変化が見えるはず。 方法:CCCデータセット2009攻撃元データを観測ベクトルXとし、主成分u1、u2 と係数y1 、 y2 を求める。
観測データ ランク 1 2 3 IP AA.10.167.74 BB.10.167.74 CC.114.143.2 2008/5/1 3555 369 … 2008/9/13 4096 2008/9/14 2317 2008/9/15 3836 2008/9/16 4017 2009/4/30 486 総計DL数 462246 399562 33283
直交基底 u1 u2 u3 u4 u5 AA.10.167.74 -0.833 0.542 -0.018 0.082 -0.051 BB.10.166.195 0.548 0.831 -0.024 0.019 -0.079 CC.114.143.2 -0.049 -0.306 -0.896 -0.266 DD.114.141.207 0.014 0.033 0.939 -0.270 -0.121 EE.215.1.206 0.021 -0.108 -0.031 0.281 -0.898 固有値λ 1160414972 353943624 25475107 12504016 8489824
実験結果-第1,2係数散布図
実験結果-第1,2係数推移図
実験結果-第3,4係数散布図
実験結果-第3,4係数推移図
考察-ボットネット間の勢力について 実験結果の第1,2係数推移図より、正と負の線形の関係からボットネットの勢力の動きとして以下の二つが考えられる. 2つのボットネットが互いのホストを奪い合っている. 単一のボットネットが主要なDLサーバを切り替え運用している.
まとめ 今後課題 実験結果から識別できたボットネットの数は4つであった. 実験結果の第1,2係数よりボットネットの勢力変化を主成分であらわすことができた.1年間に5つのフェーズに分かれている. 今後課題 今回上位4つの主成分のみを使っており,ボットネットの数の同定までには至らなかった.今後どのDLサーバを何らかの方法でクラスタリングすることで正確に数を出したい.
ご静聴ありがとうございました.
実験結果-第2,4係数推移図
考察-ボットネット数について 実験結果第1,2係数散布図より、ふたつの直線はボットネットの勢力と関係していると考えられる. よって直線の数だけボットネットが存在していると考えられる.
その他の係数について