WEKO3
アイテム
トラフィック解析に基づくボット検知手法
https://ipsj.ixsq.nii.ac.jp/records/44469
https://ipsj.ixsq.nii.ac.jp/records/4446914a5f059-6479-4413-ad16-2ecd259190e2
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-CSEC07037010.pdf (629.0 kB)
|
Copyright (c) 2007 by the Information Processing Society of Japan
|
|
| オープンアクセス | ||
| Item type | SIG Technical Reports(1) | |||||||
|---|---|---|---|---|---|---|---|---|
| 公開日 | 2007-05-25 | |||||||
| タイトル | ||||||||
| タイトル | トラフィック解析に基づくボット検知手法 | |||||||
| タイトル | ||||||||
| 言語 | en | |||||||
| タイトル | Bot Detection based on Traffic Analysis | |||||||
| 言語 | ||||||||
| 言語 | jpn | |||||||
| 資源タイプ | ||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_18gh | |||||||
| 資源タイプ | technical report | |||||||
| 著者所属 | ||||||||
| 九州大学大学院システム情報科学府情報工学専攻 | ||||||||
| 著者所属 | ||||||||
| 九州大学情報基盤センター | ||||||||
| 著者所属 | ||||||||
| 九州大学大学院システム情報科学研究院 | ||||||||
| 著者所属 | ||||||||
| 九州大学大学院システム情報科学研究院 | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| The Department of Computer Science and Communication Engineering, Kyushu University | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Computing and Communications Center, Kyushu University | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Faculty of Information Science and Electrical Engineering, Kyushu University | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Faculty of Information Science and Electrical Engineering, Kyushu University | ||||||||
| 著者名 |
釘崎裕司
× 釘崎裕司
|
|||||||
| 著者名(英) |
Yuji, KUGISAKI
× Yuji, KUGISAKI
|
|||||||
| 論文抄録 | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | 近年、ボットの感染が拡大しボットネットが形成され、社会問題となっている。ボットネットに対抗するためには、脆弱性を有するコンピュータの排除が理想である。そのため、ボットに感染しているコンピュータを検知し、注意を促す情報システムが重要である。そこでボットの動作の特徴を利用する検知手法が考えられている。本稿では IRC を利用したボットが、IRC サーバに接続する際の動作の特徴について調べた。実際に、IRC サーバでよく使われるポートのトラフィックを観測した。それにより、ボットが IRC サーバへの接続を拒否された際に、ある一定の時間間隔で再接続を試みることが確認できた。また、その時間間隔の分布を調べたところ、別の IP アドレスからの通信も類似の挙動を示していることを確認した。 | |||||||
| 論文抄録(英) | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | Recently, botnet becomes a social problem due to the expansion of bot infection. Ideally, all the vulnerable computers should be fortified to counteract botnet. To do that, it is important to implement an information system which detects bot-infected computers and alerts them. Therefore, there are various studies ongoing to detect existence of bots based on characteristics of bot behavior. In this paper, we focused on bots using IRC to communicate, and examined the behavior of such bots when they connected to an IRC server. We observed the actual traffic of some ports which were often used by the IRC protocol. As a result, we confirmed that a bot tried to reconnect to an IRC server at certain intervals when the server refused the connection from the bot. Moreover, we examined the distribution of the intervals and confirmed that the communication from other IP addresses showed similar behavior. | |||||||
| 書誌レコードID | ||||||||
| 収録物識別子タイプ | NCID | |||||||
| 収録物識別子 | AA11235941 | |||||||
| 書誌情報 |
情報処理学会研究報告コンピュータセキュリティ(CSEC) 巻 2007, 号 48(2007-CSEC-037), p. 57-62, 発行日 2007-05-25 |
|||||||
| Notice | ||||||||
| SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. | ||||||||
| 出版者 | ||||||||
| 言語 | ja | |||||||
| 出版者 | 情報処理学会 | |||||||
