Item type |
SIG Technical Reports(1) |
公開日 |
2024-03-14 |
タイトル |
|
|
タイトル |
大規模ネットワークで収集されるフローデータを使用したMiraiボットネットのグループ推定およびC2サーバ検知手法 |
タイトル |
|
|
言語 |
en |
|
タイトル |
A Method for Detecting Mirai Botnet Groups and Their C2 Servers Using Flow Data Collected in Large-Scale Network |
言語 |
|
|
言語 |
jpn |
キーワード |
|
|
主題Scheme |
Other |
|
主題 |
ICSS(3) |
資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
著者所属 |
|
|
|
株式会社KDDI 総合研究所/KDDI 株式会社 |
著者所属 |
|
|
|
株式会社KDDI 総合研究所/KDDI 株式会社 |
著者所属 |
|
|
|
株式会社KDDI 総合研究所/KDDI 株式会社 |
著者所属(英) |
|
|
|
en |
|
|
KDDI Research, Inc. / KDDI CORPORATION |
著者所属(英) |
|
|
|
en |
|
|
KDDI Research, Inc. / KDDI CORPORATION |
著者所属(英) |
|
|
|
en |
|
|
KDDI Research, Inc. / KDDI CORPORATION |
著者名 |
村上, 洸介
中原, 正隆
窪田, 歩
|
著者名(英) |
Kosuke, Murakami
Masataka, Nakahara
Ayumu, Kubota
|
論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
ボットネットによる被害への対策として Command & Control (C2) サーバを停止するか,通信を遮断するなど感染端末との通信を行えないようにし,新規の攻撃指令を送信させないことで被害を軽減することが挙げられる.C2 サーバ特定の手段の一つとして実際に運用されているネットワークのトラフィックからマルウェア感染端末の通信を観測し C2 サーバとの通信を特定する方法が考えられる.正常通信も大量に流れる中からマルウェア感染端末に関する通信を抽出する必要はあるものの,観測対象のユーザ数やトラフィック量に応じて C2 サーバとの通信を発見できる可能性も高まるという利点もある.本稿では実際に運用されているネットワークのトラフィックと我々が運用するハニーポットの観測データの突合を行うことで Mirai ボットネットの特定およびボットグループの推定を行い,さらに推定された個々のグループの中で共通した通信先を分析することで C2 サーバを検知する手法を提案する.実際にインターネットサービスプロバイダ(ISP)が運用するネットワークで収集されたフローデータを使用した評価実験から,検知時点より最大で 27 日後まで活動が継続する C2 サーバを発見し,提案手法の有効性を確認した. |
書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AA12628305 |
書誌情報 |
研究報告セキュリティ心理学とトラスト(SPT)
巻 2024-SPT-54,
号 20,
p. 1-8,
発行日 2024-03-14
|
ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8671 |
Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |