ボットネットはいくつあるか?ダウンロードログからの線形独立な基底数

Download Report

Transcript ボットネットはいくつあるか?ダウンロードログからの線形独立な基底数 

ボットネットはいくつあるか?ダウンロー
ドログからの線形独立な基底数
東海大学院 松尾峻治 菊池浩明
(株)日立製作所 寺田真敏
大規模BotNet-Donbot
• 2009年8月「Donbot」と呼ばれる大規模なボッ
トネットが大量のスパムメールを配信した.
• ピーク時には1日に100億件のメールを配信し
たことが確認された.
2009/9/3 INTERNET Watch
“ボットネットに関与したISPの接続停止で世界のスパムが38%減少” より
ボットネットの増加
• ShadowServer –Botnet Chart より
研究の目的
• ボットネットの実態を知るため,次の2つを本
研究の目的とする.
– 独立したボットネットの個数
– ボットネット間の勢力関係を明らかにする
独立したボットネット
ハーダ
C&Cサーバ
勢力争い
DLサーバ
ゾンビ(感染ホスト)
ボットネットA
ボットネットB
仮定-1
サーバ郡は役割分担をしている.
ボットネット
S1
S3
S2
PE型
/毎時
WORM型
/毎時
TROY型
/毎時
ハニーポットによる観察
1,DLサーバの増加
2,DLサーバの減少
ボットネットA
3,DLサーバの勢力争い
ボットネットB
データの混在
?????
ハニーポット
仮定-2
勢力変化の線形性
ボットネット
サーバ
S1
S2
3
DL回数/毎時
S3
1
1
ボットネット
サーバ
日
勢力
1日目
10
30
10
10
2日目
5
15
5
5
3日目
6
18
6
6
S1
S2
S3
提案方式の原理
S1 S2 S3 S4 S5 S6
ボットネット A  3
1 1 0 0 0
ボットネット Β  0 0 0 4 2 1
(線形)
合成
展開
(主成分分析)
サーバSnからのマルウェアダウンロード回数
月 勢力
S1
S2
S3
S4
S5
S6
4月 10A
30
10
10
0
0
0
5月 7A+2B
21
7
7
8
4
2
6月 3A+3B
9
3
3
12
6
3
7月 2A+7B
6
2
2
28
14
7
8月 A+10B
3
1
1
4
2
1
提案方式の要素技術
x  9 3 3 12 6 3
'
 y1  A  y2  B
基底A,Bを求める
主成分分析
係数y1、y2を求める 直交展開
実験
目的:提案方式の有効性を実データを用いて検
証する。
– もし仮定が正しければ
独立したボットネットに対応する基底u1、u2 が存在する
。
勢力に対応する係数y1 、 y2 の変化が見えるはず。
方法:CCCデータセット2009攻撃元データを観測
ベクトルXとし、主成分u1、u2 と係数y1 、 y2 を求
める。
観測データ
ランク
1
2
3
IP
AA.10.167.74
BB.10.167.74
CC.114.143.2
3555
0
369
2008/9/13
4096
1
0
2008/9/14
2317
0
0
2008/9/15
0
3836
0
2008/9/16
0
4017
0
2009/4/30
0
486
0
総計DL数
462246
399562
33283
…
2008/5/1
…
直交基底
u1
u2
u3
u4
u5
AA.10.167.74
-0.833
0.542
-0.018
0.082
-0.051
BB.10.166.195
0.548
0.831
-0.024
0.019
-0.079
CC.114.143.2
-0.049
0.019
-0.306
-0.896
-0.266
DD.114.141.207
0.014
0.033
0.939
-0.270
-0.121
EE.215.1.206
0.021
-0.108
-0.031
0.281
-0.898
1160414972
353943624
25475107
12504016
8489824
固有値λ
実験結果-第1,2係数散布図
実験結果-第1,2係数推移図
実験結果-第3,4係数散布図
600
phase1
phase2
phase3
400
200
0
y4
-200
-400
-600
-800
-1000
-1200
-1400
-600
-400
-200
0
200
400
y3
600
800
1000 1200 1400
実験結果-第3,4係数推移図
考察-ボットネット間の勢力について
• 実験結果の第1,2係数推移図より、正と負の
線形の関係からボットネットの勢力の動きとし
て以下の二つが考えられる.
1. 2つのボットネットが互いのホストを奪い合って
いる.
2. 単一のボットネットが主要なDLサーバを切り替
え運用している.
まとめ
• 実験結果から識別できたボットネットの数は4
つであった.
• 実験結果の第1,2係数よりボットネットの勢力
変化を主成分であらわすことができた.1年間
に5つのフェーズに分かれている.
今後課題
• 今回上位4つの主成分のみを使っており,ボ
ットネットの数の同定までには至らなかった.
今後どのDLサーバを何らかの方法でクラス
タリングすることで正確に数を出したい.
ご静聴ありがとうございました.
実験結果-第2,4係数推移図
2500
y2
y4
2000
1500
Principal Component
1000
500
0
-500
-1000
-1500
-2000
0
50
100
150
200
relative day[day]
250
300
350
考察-ボットネット数について
• 実験結果第1,2係数散布図より、ふたつの直
線はボットネットの勢力と関係していると考え
られる.
• よって直線の数だけボットネットが存在してい
ると考えられる.
その他の係数について
1e+010
1e+009
1e+008
1e+007
1e+006
100000
10000
1000
100
0
10
20
30
40
50
60
70
80
90
100