福岡工業大学情報工学科 4年中山直飛コンテンツはじめに  感染の背景( koobfaceについて)  検知システムの概要  検知システムの制限  プログラムの流れ  検知した結果  まとめと今後について  はじめに近年SNS(ソーシャルネットワーキングサービス)内でのワーム被害が多く見られるようになってきた。  例えばfacebookやtwitter内で発生している koobfaceというワームが挙げられる。このワームはユーザーに対して悪影響を及ぼす動作を持っている。  ワームの脅威から早く対処するためにSNS内のワームの早期検知システムの考案をする。  まず、シミュレーションで検知を行う。  感染の背景 koobfaceというワームについてピックアップ Hi,A****~ http://youtube.c om/.... ワーム入りメッセージ 1 感染したユーザユーザAの友達リストユーザB Hi,C** **~ ユーザC 感染メッセージ（不正URLサイト入り） 4 2 偽のyoutubeサイト Hi,B** **~ 各ユーザにばらまく（メッセージの内容を少しカスタマイズ）不正URLサイトをクリックユーザA 3 Koobface入りの更新プログラム Hi,D** **~ ユーザD Hi,E** **~ ユーザE Koobfaceワームの感染サイクル(番号1~4) 検知システムの概要まずシミュレーションで仮想のネットワークを作り、そこで擬似のkoobfaceでユーザーに感染させ様子を見る。  最初に人数とデコイを設定することでその人数でネットワークを形成し、ランダムにそれぞれが友達になるようにしている。一人の友達間をひとつのグループとしている。  仮想SNSネットワークデコイ各ユーザー  ワームのメッセージは用意されてあるメッセージの中からランダムに一部を書き換えて生成(カスタマイズ)し、ユーザーに送る。メッセージ1 Hey, I was surprised that you have reflected on television. If you don't mind, please have a look. カスタマイズメッセージ2 Hey, Look at this video, I think it is very interesting. If you don't mind, please have a look. ユーザーにメッセージを送る際はグループ内の全員に送る。  一定の確率でユーザーがメッセージを読むようにしてあり、読むと感染する。   デコイにメッセージが来るとあらかじめ準備されている証拠と比較する。送られてきたメッセージ Hey, I was surprised that you have reflected on television. If you don't mind, please have a look.  証拠比較 Thank you for other day, Look at this video, ・・・・比較後、悪意のあるメッセージと判明し、感染していれば検知を行う。検知システムの制限 1人のユーザーからグループ内に感染することを1サイクルとしている。  例えば、1000人のネットワークで、あるユーザーが250人の友達がいるとすると250人にメッセージを送るまでが1サイクルとなる。  1サイクル 1000人のネットワークあるユーザ 250人のネットワーク感染のループを防ぐため人数の規模に応じてタイマーを設定  例えば、1000人のネットワーク内では 100サイクルで終了など  感染確率はランダム関数にそって感染する確率を設定  プログラムの流れ  プログラムの流れを図に示すユーザの人数設定メッセージを読む設定完了メッセージが来るあるユーザにはデコイがいる感染サイクルメッセージが来るメッセージを送るメッセージが来ると証拠と比較結果表示感染検知検知した結果感染率（ランダム関数）  シミュレーションで得られた結果(感染率) 10000人中820人が感染感染ユーザー数 8% 正常なユーザー数 92% 500サイクルデコイの数は1024 10000人のネットワーク 1000人中157人が感染感染ユーザー数 14% 正常なユーザー数 86% 200サイクルデコイの数は100，500の2通り 1000人のネットワーク検知した結果検知数  シミュレーションで得られた結果(検知数) デコイ数検知したメッセージ数 14336 10000人のネットワーク 1000人のネットワーク 1000人のネットワーク 7000 1400 1024 500 1 100 2 3 まとめと今後について検知した結果からユーザーは全体の1割が感染して、検知したメッセージはメンバーの数を増やすと比例して増えた。  今後はデコイの数を増やすとネットワークとしての効率が悪くなるのでなるべく少なく配置し感染数の減少を目指す。  デコイの配置をどう工夫するかでさらに早期検知できるかを検討中 