上園詩織 - 福岡工業大学

エミュレーションを使ったボットの
トラフィック特性について
福岡工業大学情報工学部
上園詩織
ボットネットとは
ゾンビパソコン:感染したPC
攻撃者
サーバー
ゾンビパソコンへ命令
一斉に命令を
実行する
Dos攻撃
フィッシングサイトの開設
スパムメールの送信
個人情報の漏えい
研究の目的
ボットのバージョンアップ、亜種の発生
ボット検出
ボット活動パターンを観察する
開発環境
開発環境 :Fedora15
使用言語:Ruby1.9.2
使用ツール:Rubot0.0.1, ngircd17, Wireshark
Rubot:ボットネットエミュレーションフレームワーク
IRC・HTTP・P2P・Wormなどのボットネットを
仮想的に作り、ボットとしての動作を行える。クリス・リー氏
にいただいたものを使用し、一部変更を加えている
RUBOTによる実験1
IRC
ボット
ボットマスター
命令
ngircd
ngircd
start
Ue:自分
botmaster
Hello
Hexybot001
Hexybot002
.
.
.
Hexybot100
RUBOTによる実験2
HTTP
攻撃対象の指定情
報など含む
httpbot1
5秒ごとに
Webページを読み込む
Webページ
httpbot2
7秒ごとに
Webページを読み込む
データ収集1
IRCBotのトラフィック
データ収集2
HTTPBotのトラフィック
検討
同じような通信手順を何度も繰り返している
パケット長に大きな分散がないこと
時間単位での類似性
データ量の類似性から検討
サーバーの監視
送信元IPを二つ以上持つ宛先IPの抽出
一定時間ごとに情報量の分散を求める
今後の課題
P2P型ボットやワームボット等
他のボットによる検証
提案手法の実装