Transcript 上園詩織

卒業研究進捗
研究の目的
トラフィック特性を用いたボットネット検出
トラフィックの特性を知るためにもさまざまな
パターンのボット活動を観察する。
ボットネットエミュレーションの使用。
開発環境
開発環境 ：Fedora15 使用言語：Ruby1.9.2
使用ツール：Rubot0.0.1, BotHunter1.6.0, ngircd17
クリス・リーさんにいただいたものを使用。
一部変更を加えている。
BotMinerの入手ができなかったので、少し古
いものですがBotHunterでの検出実験を検討
BotHunter：自分のＰＣがボットに感染しているかを識別
実験内容
IRC
ボット
ボットマスター
命令
ngircd
ngircd
start
Ue:自分
botmaster
Hello
Hexybot001
Hexybot002
.
.
.
Hexybot100
問題点
BotHunterではボットとして認識されない状態
BotHunterの仕様
 統計的手法
 ルール記述
snort
問題把握
BotHunterが検出できない
パターンの共通点を探す。
誤検知の問題
偶然ユーザーがボットに感染しているような行動を
とったときに誤検知されてしまう
更新の問題
ルールベースであるため新しいものへの対応が難しい
一般の人でも使える必要がある。
今後
各ツールの設定、変更を行い、Rubotによるトラ
フィックを記録。
現在ではＩＲＣのみの稼働になっているので、ＨＴ
ＴＰやＰ２Ｐなどほかのボットネットエミュレート
も行う。
Rubotの機能を使えるようにする。