Transcript 卒業研究進捗 - 福岡工業大学

エミュレーションを使ったボットの
トラフィック特性について
福岡工業大学情報工学部
上園詩織
目次
ボットネットとは
 研究の目的
 開発環境
 RUBOTによる実験１ IRCBot
 RUBOTによる実験２ HTTPBot
 検討
 今後の課題

ボットネットとは
ゾンビパソコン：感染したＰＣ
攻撃者
サーバー
ゾンビパソコンへ命令
一斉に命令を
実行する
Dos攻撃
フィッシングサイトの開設
スパムメールの送信
個人情報の漏えい
研究の目的
ボットのバージョンアップ、亜種の発生
ボット検出
ボット活動パターンを観察する
開発環境
開発環境 ：Fedora15
使用言語：Ruby1.9.2
使用ツール：Rubot0.0.1, ngircd17, Wireshark
RUBOTによる実験１
IRC
ngircd
Hello
Ue:自分
ngircd
Hexybot001
Hexybot002
.
.
.
Hexybot100
RUBOTによる実験１
IRC
他の通信と一緒にデータ収集
ボット
ボットマスター
命令
ngircd
ngircd
start
Ue:自分
botmaster
Hello
Hexybot001
Hexybot002
.
.
.
Hexybot100
RUBOTによる実験１
IRCBotのトラフィック
トラフィック量がIRCのみでは一定に近い
命令の始まり、終わりでのみ大きく変化が現れる
RUBOTによる実験２
WEBrick
HTTP
攻撃対象の指定情
報など含む
Webページ
Rubyのフレームワークで、
単純にＨＴＴＰWebサーバー
を作ることができる。
httpbot1
５秒ごとに
Webページを読み込む
WEBrickを使った
Webサーバー
httpbot2
７秒ごとに
Webページを読み込む
RUBOTによる実験２
HTTPBotのトラフィック
ある程度一定のトラフィック量となっている。
一つだけの場合は一定時間ごとに変化が現れる。
検討
同じような通信手順を何度も繰り返している
パケット長に大きな分散がないこと
時間単位での類似性
データ量の類似性から検討
サーバーの監視
送信元ＩＰを二つ以上持つ宛先ＩＰの抽出
一定時間ごとに情報量の分散を求める
今後の課題
P2P型ボットやワームボット等
他のボットによる検証
IRCBot HTTPBotによるスパム
メール送信等のテスト
提案手法の実装