DNSトラフィックに着目したボット検出手法の検討

DNSトラフィックに着目した
ボット検出手法の検討
福岡工業大学
情報工学部
情報工学科
比嘉久登
目次
 はじめに
 ボットとは
 ボットネットとは
 ボットの特徴
 ボットの感染経路
 DNSトラフィックに着目したボット検出
 まとめ
はじめに
OSやソフトウェアの脆弱性を利用し感染を拡大
する有害プログラム(ワームやウイルス等)によ
る被害が増加している。特に、ボットによる被害
が近年増加している。ボットは、亜種が出現する
スピードが極めて早く、パターン・ファイルを作
成してボットを検出することが追い付いていない
のが現状である。
本研究では、Wiresharkを用いてDNSトラフィック
を収集し、そのトラフィックからDNSにクエリした
数を集計、または、ブラックリストとの照合を行
うことで、ボットの検出手法を検討する。
ボット、ボットネットとは
 ボットとは、コンピュータを悪用することを目的
に作られたプログラムで、コンピュータに感染す
ると、インターネットを通じて悪意を持った第三
者が、感染したコンピュータを外部から遠隔操作
することを目的として作成された悪性プログラム
のことを指す
 ボットネットとは、ボットに感染したコンピュー
タで構成されるネットワークのことを指す
ボットの特徴
 ボットの特徴として、以下の4つがある
1.
2.
3.
4.
感染していることに気づきにくい
自動で機能追加をする
種類が多い
犯罪目的
感染していることに気づきにくい
 ボットは、感染したとしても従来のウイルス/
ワームに比べて目に見える特別な症状が現れない
ことが多く、感染前との差異を感じることなくコ
ンピュータを使用できるなど、ユーザに感染を気
づかせない特徴を持っている
自動で機能追加をする
 ボットは、自分自身を自動的にアップデートする
機能を使って、新しい機能を追加したり自身の不
具合を修正することができる
種類が多い
 ボットのソースコードやボットを簡単に作成する
ツールがインターネット上に公開されているため、
一つのボットを元にした数多くの亜種が作成され
ています。これらの亜種の多さが、ウイルス対策
ソフトによるボットの駆除を困難にしている
犯罪目的
 ボット作成者は、ボットネット(ボットによる
ネットワーク)を時間単位で迷惑メールの配信会
社にに貸し出したり、盗み出した個人情報を販売
するなど、ボットを犯罪に利用し利益を得ること
を目的としている
ボットの感染経路
 ボットの主な感染経路には、以下の5つがある
1.
2.
3.
4.
5.
ネットワーク感染型
メール添付感染型
Web閲覧感染型
Web誘導感染型
外部記憶媒体感染型
ネットワーク感染型
 Windows等の基本ソフトや、その他のプログラム
のセキュリティホール(脆弱性)や設定の不備を
悪用し感染するタイプ
 インターネット等のネットワークに接続するだけ
で感染する
メール添付感染型
 メールの添付ファイルをクリックし感染するタイ
プ
Web閲覧感染型
 ブラウザで閲覧したホームページに埋め込まれた
ウイルスをダウンロードして感染するタイプ
 ホームページを見ただけで感染することもある
Web誘導感染型
 迷惑メールのURL等をクリックしてアクセスした
ホームページからウイルスをダウンロードして感
染するタイプ
外部記憶媒体感染型
 USBメモリ、デジタルカメラ、ミュージックプ
レーヤーなどの外部記憶媒体を介在して感染する
タイプ
DNSトラフィックに着目したボッ
ト検出
 本研究では、DNSトラフィックに着目してボット
を検出する方法を検討する
 手順として
1.
2.
3.
DNSトラフィックの収集
得られたトラフィックから、ドメインの次数を
集計(重複するIPアドレスからの同じドメイ
ンへのクエリは、次数1として数える)
検出の検討
DNSトラフィックの収集
 Wiresharkを使用
Wiresharkで収集したデータ
ドメインの次数を集計
 Wiresharkにより、収集したトラフィックから、ド
メインの次数を集計
ドメイン名
次数
fit.ac.jp
7788
Jyoto.fit.jp
165
www.consortium-fukuoka.jp
108
Bene.fit.jp
82
w64.ziyoulonglive.com
82
www.kyushu-ccc.jp
81
w63.ziyoulonglive.com
78
w62.ziyoulonglive.com
77
w61.ziyoulonglive.com
71
次数の収集結果(上位9)
検出の検討
 以下のような検出を検討している
 ドメインの次数による検出
 ブラックリストとの照合による検出
ドメインの次数による検出
 次数の多いドメインをボットと判断して検出
ドメイン名
次数
fit.ac.jp
7788
Jyoto.fit.jp
165
www.consortium-fukuoka.jp
108
Bene.fit.jp
82
w64.ziyoulonglive.com
82
www.kyushu-ccc.jp
81
w63.ziyoulonglive.com
78
w62.ziyoulonglive.com
77
w61.ziyoulonglive.com
71
ブラックリストとの照合による検出
 nothink.orgで公開されているDNSネットワーク
トラフィックのブラックリストなどを用いてボッ
トを検出
ブラックリスト
まとめ
本研究では、DNSトラフィックを収集し、次数やブ
ラックリストを用いての検出を検討したが、以上
に挙げた検出法では、すべてのボットを検出する
ことはできないと考えられるため、今後は、より
良い検出法を検討していきたいと思う。
ご清聴ありがとうございました