2024-03-29T18:30:38Zhttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_oaipmhoai:ipsj.ixsq.nii.ac.jp:000747802023-11-14T00:51:14Z06164:06165:06462:06463
トラヒック解析とVirtual Machine Introspectionの連携によるボット検知方式Enhancing Network-based Bot Detectionusing Virtual Machine Introspectionjpn攻撃通信データhttp://id.nii.ac.jp/1001/00074780/Conference Paperhttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_action_common_download&item_id=74780&item_no=1&attribute_id=1&file_no=1Copyright (c) 2009 by the Information Processing Society of Japan(株)日立製作所システム開発研究所(株)日立製作所システム開発研究所(株)日立製作所システム開発研究所(株)日立製作所システム開発研究所(株)日立製作所システム開発研究所(株)日立製作所システム開発研究所川口, 信隆大河内, 一弥仲小路, 博史鬼頭, 哲郎重本, 倫宏寺田, 真敏本論文では,ネットワーク型 IDS(NIDS) によるトラヒック解析と,Virtual Machine Introspection により端末から取得したプロセスのコンテキスト情報を連携させたボット検知方式を提案する.従来の NIDS は Command and Control 通信 (C&C 通信) と感染活動の両方を行っている疑惑がある端末をボット感染端末と判定する.しかしこの手法には,場合によって誤り検知や検知見逃しが発生する可能性がある.例えば,ボットとは無関係な別々のプロセスが C&C 通信や感染活動に類似した振る舞いを行う端末は誤検知されやすい.この問題を解決するために,提案方式はプロセスのコンテキスト情報を NIDS に与えることで,プロセス粒度での検知を実現する.例えば C&C 通信と感染活動を同一プロセスが行う場合,端末はボットに感染していると判断する.Xen 上でのプロトタイプ実装と CCC DATAset2009 で指定された検体を用いた評価実験により,提案手法がボットを検知することを確認した.In this paper, we propose a bot detection method that combines traffic analysis by Network basedIDS (NIDS) and process context information obtained from monitored machines by using Virtual MachineIntrospection. Some existing NIDS determine a machine is infected if it is suspected of performing both of theCommand and Control(C&C) communication and infection activities. This approach, however, has possibilitiesto generate false positives and negatives. For example, a machine that simultaneously runs two benign processeswhich perform C&C communication-like and infection-like activities respectively could be falsely detected. Toaddress this problem, the proposed method enables NIDS to achieve process-grained detection by adding thecontext information of the processes that perform network activities. For example, this method declares amachine is infected when the machine has a process that appears to perform both of C&C communication andinfection activities. Through experiments using a prototype implementation on Xen and a bot sample specifiedby CCC DATAset 2009, we confirm that the proposed method has a capability to detect bots appropriately.Keywords: Bot, Detection, Virtual Machine Introspectionコンピュータセキュリティシンポジウム2009 (CSS2009) 論文集2009162011-10-122011-07-04