著者
向 脩 川村 勇気 川喜田 雅則 竹内 純一
出版者
一般社団法人電子情報通信学会
雑誌
電子情報通信学会技術研究報告. ISEC, 情報セキュリティ (ISSN:09135685)
巻号頁・発行日
vol.114, no.471, pp.193-198, 2015-02-23

近年,インターネットにおいてボットと呼ばれるマルウェアに感染した端末群(ボットネット)により起こされる被害が大きな問題になっている.濱崎らは,同一のボットネットに属するホストは同期してパケットを送信するという特性(協調性)を利用した検出手法を提案した.この手法では,スパースな協調関係を推定するアルゴリズムであるglassoによりホスト間の協調関係を逐次的に推定し,協調関係の変化を捉えることによってボットネットの検出を行う.濱崎らの手法には問題点が二点あった.一点目は,ボットネットが活動していない時間のアラート(フォールスアラート)が多数観測されることである.この問題を解決するために,本研究では,移動平均を用いてアラートを上げる手法を実装した.二点目は,ボットネットが活動している時間帯は推定できても,ボットとして活動しているホスト群を推定することはできないことである.この問題をホスト間の協調関係を可視化することにより,解決する手法を提案する.さらに,これらの提案手法によって発見できた最近の事例を紹介する.