WEKO3
アイテム
ボットおよび指令サーバのホスト型追跡
https://ipsj.ixsq.nii.ac.jp/records/66485
https://ipsj.ixsq.nii.ac.jp/records/66485489e61aa-4fb3-46c2-9376-c3aceb1b7c9c
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-JNL5009036.pdf (3.0 MB)
|
Copyright (c) 2009 by the Information Processing Society of Japan
|
|
| オープンアクセス | ||
| Item type | Journal(1) | |||||||
|---|---|---|---|---|---|---|---|---|
| 公開日 | 2009-09-15 | |||||||
| タイトル | ||||||||
| タイトル | ボットおよび指令サーバのホスト型追跡 | |||||||
| タイトル | ||||||||
| 言語 | en | |||||||
| タイトル | Host-based Traceback against Bot and C&C Server | |||||||
| 言語 | ||||||||
| 言語 | jpn | |||||||
| キーワード | ||||||||
| 主題Scheme | Other | |||||||
| 主題 | 一般論文 | |||||||
| 資源タイプ | ||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_6501 | |||||||
| 資源タイプ | journal article | |||||||
| 著者所属 | ||||||||
| 株式会社KDDI研究所 | ||||||||
| 著者所属 | ||||||||
| 株式会社KDDI研究所 | ||||||||
| 著者所属 | ||||||||
| 株式会社KDDI研究所 | ||||||||
| 著者所属 | ||||||||
| 静岡大学創造科学大学院 | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| KDDI R&D Laboratories | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| KDDI R&D Laboratories | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| KDDI R&D Laboratories | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Graduate School of Science and Technology, Shizuoka University | ||||||||
| 著者名 |
竹森, 敬祐
藤長, 昌彦
佐山, 俊哉
西垣, 正勝
× 竹森, 敬祐 藤長, 昌彦 佐山, 俊哉 西垣, 正勝
|
|||||||
| 著者名(英) |
Keisuke, Takemori
Masahiko, Fujinaga
Toshiya, Sayama
Masakatsu, Nishigaki
× Keisuke, Takemori Masahiko, Fujinaga Toshiya, Sayama Masakatsu, Nishigaki
|
|||||||
| 論文抄録 | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | 昨今,指令サーバに制御される多数のボットを踏み台にした送信元IPアドレス詐称パケットによるDDoS攻撃が脅威となっている.ボットは未知のコードが多数あること,感染PCに直接的な被害を及ぼさないことで,その感染が見過ごされてしまう傾向がある.これまで,攻撃の発信源を特定する技術として,インターネット上に専用のプローブを設置して,被害者PCから加害者PCを特定するIP追跡方式が提案されている.しかしボットネットの場合,指令サーバからボットへの制御とボットからの攻撃は,異なる通信アプリケーションで非同期的に行われており,単一の通信プロトコルを想定した既存方式では,指令サーバやボットの追跡を行えないという問題がある.そこで本研究では,(i) 被害者PCからボットへと,(ii) ボットから指令サーバへの両者に対応したホスト型の追跡方式を提案する.(i) は,被害者PCからの申告情報を基に,自身が加害者であることを自己認識するクレームドリブンなボットの追跡方式である.(ii) は,各地のボットの通信履歴から共通する宛先情報を抽出して,活発な指令サーバを特定する連携的な追跡方式である.実際にホスト型追跡システムの実装を行い,感染PC上の異常な通信の特定と,インターネット上の活発な指令サーバの特定を行える様子を示す. | |||||||
| 論文抄録(英) | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | Recently, DDoS attacks involving source IP spoofing have now become critical issues on the Internet. These attacks are considered to be sent from bots that are controlled by command and control (C&C) servers. As many types of unknown bots that only affects the PC slightly are released, users tend to leave them infected. There has been active research into IP traceback systems that probe packets on the Internet. However, efforts to determine traceback from victims' PCs to bots and from bots to C&C servers have not yet been achieved. Because control and attack packets are sent asynchronously, it is hard to grasp the relation between bots and C&C servers. In this research, we propose host-based traceback schemes that track (i) from a victim PC to a bot, and (ii) from the bot to a C&C server. In the case of (i), the victim PC notifies its IP address to another PCs in order to inspect their access records. The notification is considered to be a claim driven traceback scheme. In the case of (ii), bot access records are gathered and compared in order to extract the active IP address considered to be a significant C&C server. The comparison is considered to be a cooperative traceback scheme. We implement our proposed model and evaluate the tracking ability against the bot process on the infected PC and the active C&C servers on the Internet. | |||||||
| 書誌レコードID | ||||||||
| 収録物識別子タイプ | NCID | |||||||
| 収録物識別子 | AN00116647 | |||||||
| 書誌情報 |
情報処理学会論文誌 巻 50, 号 9, p. 2360-2370, 発行日 2009-09-15 |
|||||||
| ISSN | ||||||||
| 収録物識別子タイプ | ISSN | |||||||
| 収録物識別子 | 1882-7764 | |||||||
