230 likes | 297 Views
DNSトラフィックに着目したボット検出手法の検討. 福岡工業大学 情報工学部 情報工学科 比嘉久登. 目次. はじめ に ボットとは ボットネットと は ボット の特徴 ボット の感染経路 DNSトラフィックに着目したボット検出 まとめ. はじめに. OS やソフトウェアの脆弱性を利用し感染を拡大する有害プログラム(ワームやウイルス等)による被害が増加している。特に、ボットによる被害が近年増加している。ボットは、亜種が出現するスピードが極めて早く、パターン・ファイルを作成してボットを検出することが追い付いていないのが現状である。
E N D
DNSトラフィックに着目したボット検出手法の検討DNSトラフィックに着目したボット検出手法の検討 • 福岡工業大学 • 情報工学部 • 情報工学科 • 比嘉久登
目次 • はじめに • ボットとは • ボットネットとは • ボットの特徴 • ボットの感染経路 • DNSトラフィックに着目したボット検出 • まとめ
はじめに OSやソフトウェアの脆弱性を利用し感染を拡大する有害プログラム(ワームやウイルス等)による被害が増加している。特に、ボットによる被害が近年増加している。ボットは、亜種が出現するスピードが極めて早く、パターン・ファイルを作成してボットを検出することが追い付いていないのが現状である。 本研究では、Wiresharkを用いてDNSトラフィックを収集し、そのトラフィックからDNSにクエリした数を集計、または、ブラックリストとの照合を行うことで、ボットの検出手法を検討する。
ボット、ボットネットとは • ボットとは、コンピュータを悪用することを目的に作られたプログラムで、コンピュータに感染すると、インターネットを通じて悪意を持った第三者が、感染したコンピュータを外部から遠隔操作することを目的として作成された悪性プログラムのことを指す • ボットネットとは、ボットに感染したコンピュータで構成されるネットワークのことを指す
ボットの特徴 • ボットの特徴として、以下の4つがある • 感染していることに気づきにくい • 自動で機能追加をする • 種類が多い • 犯罪目的
感染していることに気づきにくい • ボットは、感染したとしても従来のウイルス/ワームに比べて目に見える特別な症状が現れないことが多く、感染前との差異を感じることなくコンピュータを使用できるなど、ユーザに感染を気づかせない特徴を持っている
自動で機能追加をする • ボットは、自分自身を自動的にアップデートする機能を使って、新しい機能を追加したり自身の不具合を修正することができる
種類が多い • ボットのソースコードやボットを簡単に作成するツールがインターネット上に公開されているため、一つのボットを元にした数多くの亜種が作成されています。これらの亜種の多さが、ウイルス対策ソフトによるボットの駆除を困難にしている
犯罪目的 • ボット作成者は、ボットネット(ボットによるネットワーク)を時間単位で迷惑メールの配信会社にに貸し出したり、盗み出した個人情報を販売するなど、ボットを犯罪に利用し利益を得ることを目的としている
ボットの感染経路 • ボットの主な感染経路には、以下の5つがある • ネットワーク感染型 • メール添付感染型 • Web閲覧感染型 • Web誘導感染型 • 外部記憶媒体感染型
ネットワーク感染型 • Windows等の基本ソフトや、その他のプログラムのセキュリティホール(脆弱性)や設定の不備を悪用し感染するタイプ • インターネット等のネットワークに接続するだけで感染する
メール添付感染型 • メールの添付ファイルをクリックし感染するタイプ
Web閲覧感染型 • ブラウザで閲覧したホームページに埋め込まれたウイルスをダウンロードして感染するタイプ • ホームページを見ただけで感染することもある
Web誘導感染型 • 迷惑メールのURL等をクリックしてアクセスしたホームページからウイルスをダウンロードして感染するタイプ
外部記憶媒体感染型 • USBメモリ、デジタルカメラ、ミュージックプレーヤーなどの外部記憶媒体を介在して感染するタイプ
DNSトラフィックに着目したボット検出 • 本研究では、DNSトラフィックに着目してボットを検出する方法を検討する • 手順として • DNSトラフィックの収集 • 得られたトラフィックから、ドメインの次数を集計(重複するIPアドレスからの同じドメインへのクエリは、次数1として数える) • 検出の検討
DNSトラフィックの収集 • Wiresharkを使用 Wiresharkで収集したデータ
ドメインの次数を集計 • Wiresharkにより、収集したトラフィックから、ドメインの次数を集計 次数の収集結果(上位9)
検出の検討 • 以下のような検出を検討している • ドメインの次数による検出 • ブラックリストとの照合による検出
ドメインの次数による検出 • 次数の多いドメインをボットと判断して検出
ブラックリストとの照合による検出 • nothink.orgで公開されているDNSネットワークトラフィックのブラックリストなどを用いてボットを検出 ブラックリスト
まとめ 本研究では、DNSトラフィックを収集し、次数やブラックリストを用いての検出を検討したが、以上に挙げた検出法では、すべてのボットを検出することはできないと考えられるため、今後は、より良い検出法を検討していきたいと思う。