Presentation is loading. Please wait.

Presentation is loading. Please wait.

DNSトラフィックに着目したボット検出手法の検討

Published byHarry Grant Lang Modified 約 5 年前

Similar presentations

Presentation on theme: "DNSトラフィックに着目したボット検出手法の検討"— Presentation transcript:

1 DNSトラフィックに着目したボット検出手法の検討
福岡工業大学 情報工学部 情報工学科 比嘉久登

2 目次 はじめに ボットとは ボットネットとは ボットの特徴 ボットの感染経路 DNSトラフィックに着目したボット検出 まとめ

3 はじめに OSやソフトウェアの脆弱性を利用し感染を拡大 する有害プログラム(ワームやウイルス等)によ る被害が増加している。特に、ボットによる被害 が近年増加している。ボットは、亜種が出現する スピードが極めて早く、パターン・ファイルを作 成してボットを検出することが追い付いていない のが現状である。 本研究では、Wiresharkを用いてDNSトラフィック を収集し、そのトラフィックからDNSにクエリした 数を集計、または、ブラックリストとの照合を行 うことで、ボットの検出手法を検討する。

4 ボット、ボットネットとは ボットとは、コンピュータを悪用することを目的 に作られたプログラムで、コンピュータに感染す ると、インターネットを通じて悪意を持った第三 者が、感染したコンピュータを外部から遠隔操作 することを目的として作成された悪性プログラム のことを指す ボットネットとは、ボットに感染したコンピュー タで構成されるネットワークのことを指す

5 ボットの特徴 ボットの特徴として、以下の4つがある 感染していることに気づきにくい 自動で機能追加をする 種類が多い 犯罪目的

6 感染していることに気づきにくい ボットは、感染したとしても従来のウイルス/ ワームに比べて目に見える特別な症状が現れない ことが多く、感染前との差異を感じることなくコ ンピュータを使用できるなど、ユーザに感染を気 づかせない特徴を持っている

7 自動で機能追加をする ボットは、自分自身を自動的にアップデートする 機能を使って、新しい機能を追加したり自身の不 具合を修正することができる

8 種類が多い ボットのソースコードやボットを簡単に作成する ツールがインターネット上に公開されているため、 一つのボットを元にした数多くの亜種が作成され ています。これらの亜種の多さが、ウイルス対策 ソフトによるボットの駆除を困難にしている

9 犯罪目的 ボット作成者は、ボットネット(ボットによる ネットワーク)を時間単位で迷惑メールの配信会 社にに貸し出したり、盗み出した個人情報を販売 するなど、ボットを犯罪に利用し利益を得ること を目的としている

10 ボットの感染経路 ボットの主な感染経路には、以下の5つがある ネットワーク感染型 メール添付感染型 Web閲覧感染型 Web誘導感染型
外部記憶媒体感染型

11 ネットワーク感染型 Windows等の基本ソフトや、その他のプログラム のセキュリティホール(脆弱性)や設定の不備を 悪用し感染するタイプ
インターネット等のネットワークに接続するだけ で感染する

12 メール添付感染型 メールの添付ファイルをクリックし感染するタイ プ

13 Web閲覧感染型 ブラウザで閲覧したホームページに埋め込まれた ウイルスをダウンロードして感染するタイプ
ホームページを見ただけで感染することもある

14 Web誘導感染型 迷惑メールのURL等をクリックしてアクセスした ホームページからウイルスをダウンロードして感 染するタイプ

15 外部記憶媒体感染型 USBメモリ、デジタルカメラ、ミュージックプ レーヤーなどの外部記憶媒体を介在して感染する タイプ

16 DNSトラフィックに着目したボット検出 本研究では、DNSトラフィックに着目してボット を検出する方法を検討する 手順として
得られたトラフィックから、ドメインの次数を 集計(重複するIPアドレスからの同じドメイ ンへのクエリは、次数1として数える) 検出の検討

17 DNSトラフィックの収集 Wiresharkを使用 Wiresharkで収集したデータ

18 ドメインの次数を集計 Wiresharkにより、収集したトラフィックから、ド メインの次数を集計 ドメイン名 次数 fit.ac.jp
7788 Jyoto.fit.jp 165 108 Bene.fit.jp 82 w64.ziyoulonglive.com 81 w63.ziyoulonglive.com 78 w62.ziyoulonglive.com 77 w61.ziyoulonglive.com 71 次数の収集結果(上位9)

19 検出の検討 以下のような検出を検討している ドメインの次数による検出 ブラックリストとの照合による検出

20 ドメインの次数による検出 次数の多いドメインをボットと判断して検出 ドメイン名 次数 fit.ac.jp 7788 Jyoto.fit.jp
165 108 Bene.fit.jp 82 w64.ziyoulonglive.com 81 w63.ziyoulonglive.com 78 w62.ziyoulonglive.com 77 w61.ziyoulonglive.com 71

21 ブラックリストとの照合による検出 nothink.orgで公開されているDNSネットワーク トラフィックのブラックリストなどを用いてボッ トを検出 ブラックリスト

22 まとめ 本研究では、DNSトラフィックを収集し、次数やブ ラックリストを用いての検出を検討したが、以上 に挙げた検出法では、すべてのボットを検出する ことはできないと考えられるため、今後は、より 良い検出法を検討していきたいと思う。

23 ご清聴ありがとうございました

Download ppt "DNSトラフィックに着目したボット検出手法の検討"

Similar presentations

情報セキュリティ読本 情報セキュリティ読本 – プレゼンテーション資料 - 1 情報セキュリティ読本 - IT 時代の危機管理入門 - プレゼンテーション資料 (第 1 章 IT (情報技術)に潜む危険)

情報セキュリティ読本 情報セキュリティ読本 – プレゼンテーション資料 - 1 情報セキュリティ読本 - IT 時代の危機管理入門 - プレゼンテーション資料 (第 1 章 IT (情報技術)に潜む危険)
情報処理 第2回:ネットワークへの接続 Apr. 22, 2016. 本講義に毎回必ず持ってくるもの ノートパソコン本体 筆記用具 教科書  教職必修 情報機器の操作  情報モラル&情報セキュリティ 全学認証 ID 配布票 (個人情報なので, 大切に扱うこと) 電源ケーブル LAN ケーブル マウス.

情報処理 第2回:ネットワークへの接続 Apr. 22, 本講義に毎回必ず持ってくるもの ノートパソコン本体 筆記用具 教科書  教職必修 情報機器の操作  情報モラル&情報セキュリティ 全学認証 ID 配布票 (個人情報なので, 大切に扱うこと) 電源ケーブル LAN ケーブル マウス.
Information-technology Promotion Agency, Japan Copyright © 2004 独立行政法人 情報処理推進機構 独立行政法人 情報処理推進機構 セキュリティセンター 日本国内における コンピュータウイルスの発見届出状況について 2004 年 11 月 25.

Information-technology Promotion Agency, Japan Copyright © 2004 独立行政法人 情報処理推進機構 独立行政法人 情報処理推進機構 セキュリティセンター 日本国内における コンピュータウイルスの発見届出状況について 2004 年 11 月 25.
コンピュータウイル ス ~ウイルスの感染を防ぐには~. ( 1 )コンピュータウイルスとはどんなもの なのか、 どんな被害を及ぼすのかを知る。 ( 2 )コンピュータウイルスに感染しないた めの 方法を知る。 1 課 題 ウイルスの感染を防ぐに は.

コンピュータウイル ス ~ウイルスの感染を防ぐには~. ( 1 )コンピュータウイルスとはどんなもの なのか、 どんな被害を及ぼすのかを知る。 ( 2 )コンピュータウイルスに感染しないた めの 方法を知る。 1 課 題 ウイルスの感染を防ぐに は.
Alexa Internet (アレクサ インターネット)は、カリフォルニア州サンフランシスコに本 社を置くインターネット関連企業。 1996 年に設立され、 1999 年に Amazon.com の傘下と なった。 事業内容は、ウェブ巡回技術を使ってウェブサイト情報や利用状況に関するデータを集 め、ウェブサイトがどれだけの人に見られているかを調査すること。

Alexa Internet (アレクサ インターネット)は、カリフォルニア州サンフランシスコに本 社を置くインターネット関連企業。 1996 年に設立され、 1999 年に Amazon.com の傘下と なった。 事業内容は、ウェブ巡回技術を使ってウェブサイト情報や利用状況に関するデータを集 め、ウェブサイトがどれだけの人に見られているかを調査すること。
ネットワーク社会の 情報倫理 第4章 コンピュータウィルス [近代科学社刊]. 4. 1 有害なプログラム コンピュータウィルス ワーム トロイの木馬 スパイウェア・アド ウェア デマウィルス マルウェア (mal-ware) → 有害なプログラムの総称 ( mal :悪意を持っ た) マルウェアの種類.

ネットワーク社会の 情報倫理 第4章 コンピュータウィルス [近代科学社刊]. 4. 1 有害なプログラム コンピュータウィルス ワーム トロイの木馬 スパイウェア・アド ウェア デマウィルス マルウェア (mal-ware) → 有害なプログラムの総称 ( mal :悪意を持っ た) マルウェアの種類.
情報倫理と メディアリテラシー 第 1 章 ネットワーク社会と情報化社 会. ネットワーク社会 携帯電話 コンピュー タ テレビ 家電 カーナビ など ネットワーク 新たなコミュニケーションの場.

情報倫理と メディアリテラシー 第 1 章 ネットワーク社会と情報化社 会. ネットワーク社会 携帯電話 コンピュー タ テレビ 家電 カーナビ など ネットワーク 新たなコミュニケーションの場.
システム案内.

システム案内.
ご提案書 『ホテル インターネットサービスソリューション』

ご提案書 『ホテル インターネットサービスソリューション』
コンピュータウィルス.

コンピュータウィルス.
Global Ring Technologies

Global Ring Technologies
情報基礎A 情報科学研究科 徳山 豪.

情報基礎A 情報科学研究科 徳山 豪.
情報セキュリティ読本 - IT時代の危機管理入門 -

情報セキュリティ読本 - IT時代の危機管理入門 -
コンピュータウィルスと脆弱性 メディアコミュニケーション論Ⅲ 7/18/08.

コンピュータウィルスと脆弱性 メディアコミュニケーション論Ⅲ 7/18/08.
Flashプレイヤーを使った動画配信 情報工学科 宮本 崇也.

Flashプレイヤーを使った動画配信 情報工学科 宮本 崇也.
Android と iPhone (仮題) 情報社会とコンピュータ 第13回

Android と iPhone (仮題) 情報社会とコンピュータ 第13回
受動的攻撃について Eiji James Yoshida penetration technique research site

受動的攻撃について Eiji James Yoshida penetration technique research site
シニア情報生活アドバイザー養成講座 2014年5月28日 吉田 圭助

シニア情報生活アドバイザー養成講座 2014年5月28日 吉田 圭助
Zeusの動作解析 S08a1053 橋本 寛史.

Zeusの動作解析 S08a1053 橋本 寛史.
電子社会設計論 第11回 Electronic social design theory

電子社会設計論 第11回 Electronic social design theory

Similar presentations

Ads by Google