エミュレーションを使ったボットの トラフィック特性について 福岡工業大学情報工学部 上園詩織 ボットネットとは ゾンビパソコン:感染したPC 攻撃者 サーバー ゾンビパソコンへ命令 一斉に命令を 実行する Dos攻撃 フィッシングサイトの開設 スパムメールの送信 個人情報の漏えい 研究の目的 ボットのバージョンアップ、亜種の発生 ボット検出 ボット活動パターンを観察する 開発環境 開発環境 :Fedora15 使用言語:Ruby1.9.2 使用ツール:Rubot0.0.1, ngircd17, Wireshark Rubot:ボットネットエミュレーションフレームワーク IRC・HTTP・P2P・Wormなどのボットネットを 仮想的に作り、ボットとしての動作を行える。クリス・リー氏 にいただいたものを使用し、一部変更を加えている RUBOTによる実験1 IRC ボット ボットマスター 命令 ngircd ngircd start Ue:自分 botmaster Hello Hexybot001 Hexybot002 . . . Hexybot100 RUBOTによる実験2 HTTP 攻撃対象の指定情 報など含む httpbot1 5秒ごとに Webページを読み込む Webページ httpbot2 7秒ごとに Webページを読み込む データ収集1 IRCBotのトラフィック データ収集2 HTTPBotのトラフィック 検討 同じような通信手順を何度も繰り返している パケット長に大きな分散がないこと 時間単位での類似性 データ量の類似性から検討 サーバーの監視 送信元IPを二つ以上持つ宛先IPの抽出 一定時間ごとに情報量の分散を求める 今後の課題 P2P型ボットやワームボット等 他のボットによる検証 提案手法の実装
© Copyright 2024 ExpyDoc
