SlideShare ist ein Scribd-Unternehmen logo

悪性Botnet包囲網におけるP2P通信検知の試み@ipsj Iot 42, 6/28, 2018

Als PPTX, PDF herunterladen
Takashi Yamanoue
Takashi Yamanoue

悪性botnetのP2P通信を検知しようとする悪性botnet包囲網(良性botnet)について述べる. P2P通信のようなbotnetの技術に対応するため, 以前から開発している我々の良性botを利用して, 悪性botnet包囲網(良性botnet)を開発している. 良性botnetはAgent botとAnalyzing botの2種類の良性botのグループである. 悪性botnetのP2P通信を1台のIDSで検知することは難しいが, 我々の良性botnetは複数の良性botを協調動作させることにより, P2P通信を検知する能力を持つ. この良性botnetにより, 悪性botnetの通信を真似する偽botnetの通信を検知することができた.

Technologie
1 von 41
悪性Botnet包囲網におけるP2P通信検知の試み 山之上 卓, 福山大学 IPSJ-IOT-42 2018, @鹿屋体育大学, 6/28, 2018.
#ipsjiot
目次 • 1. はじめに • 2. 悪性 Botnet 包囲網 • 3. 実験 • 4. 関連研究 • 5. おわりに #ipsjiot
1. はじめに (1/6) • ネットワーク管理者やセキュリティ担当者 …悪性Botnetに頭を抱えている. #ipsjiot
• 悪性Botnet – 迷惑メール – DDoS攻撃 – Click Fraud – 利用者の銀行口座やクレジットカード番号の盗み – 粘り強い • Botnetの中のいくつかのBotを見つけて対処して も, Botnetは悪事を続ける – … – 日々進化 1. はじめに (2/6) #ipsjiot
• 2000年代中頃 …Agobot/Phatbot [6]など – Peer To Peer (P2P)ネットワーク • 2000年代後半…conficker[2]など – ドメイン生成アルゴリズム(Domain Generation Algorithm, DGA) – 1. はじめに (3/6) #ipsjiot
• Gameover ZeuS – 警察組織の国際的な連携により, 2014年に壊滅 – FBIの公表[4]によると, 損失は1億ドル – 「2番目の中央集中型のZeusはP2P Zeus または Gameover と して知られるpeer-to-peer (P2P)の変種に変異した. P2P Zeus は 中央集中型 command and control (C2) サーバには依存しないた め, 従来型のZeus に対する対応に免疫がある」[1] 1. はじめに (4/6) #ipsjiot
• P2P機能を持ったbotnetは検知しにくく, 壊滅させるのが困難 – Gameover Zeus が壊滅までにこのような多額の損失を与え, 国際的 な連携のような大きな努力を必要としたのはGameover ZeusがP2P 機能を獲得したことも原因の一つ • Gameover ZeuSは壊滅したが, 同様のP2P botnet が組織内で 活動する可能性はあり. • 組織の出入り口に設置された1台の侵入検知システム (Intrusion Detection System, IDS) でP2P通信を使う組織内の ボットの検知は困難. 1. はじめに (5/6) #ipsjiot
• 悪性Botnetの技術に対処したい – 我々が従来から開発を続けていた良性Bot[13][14][15][16][17]を使って, 悪性Botnet包囲網(良性Botnet) を開発中 – 良性Botnetは良性Botのグループ • LANのNatの内側に設置するAgent Bot • Agent Botによって選択収集されたデータを解析するAnalyzing Bot – 良性Botnetは, 良性Botに協調動作をさせることにより, P2P通信を検 出する能力を持つ. 1. はじめに (6/6) #ipsjiot
2. 悪性Botnet包囲網 2.1 悪性botnetの概要(1/1) #ipsjiot
2. 悪性Botnet包囲網 2.2悪性bonet包囲網のbot(1/2) #ipsjiot
他に使えるコマンド set pageName <page-name> include <url> Wiki ページの例 2. 悪性Botnet包囲網 2.2悪性bonet包囲網のbot(2/2) #ipsjiot
2. 悪性Botnet包囲網 2.3 Agent Bot (1/4) #ipsjiot
2. 悪性Botnet包囲網 2.3 Agent Bot (2/4) • Buffers – Packet History • Sub buffers for every (Source IP, Destination IP) • 時間と Payload のSha1 hash も一緒に格納 – MAC-list – Domain-list – Dhcp-list – Arp-list #ipsjiot
• 良性botの言語プロセッサ – CSV parser – 表操作/表計算関数 • Analyzing Bot – 良性botの言語プロセッサの機能 – R (IOTS2016 で発表) 2. 悪性Botnet包囲網 2.4 Analyzing Bot (1/1) #ipsjiot
3. 実験 3.1 偽 Gameover ZeuS(1/2) • Gameover ZeuS #ipsjiot
3. 実験 3.1 偽 Gameover ZeuS(2/2) • Pseudo Gameover ZeuS #ipsjiot Gameover ZeuSのソースコード は公開されているが、 そのまま使うと危険
3. 実験 3.2 実験ネットワーク(1/1) #ipsjiot
3. 実験 3.3 Agent Botsのscriptと実行結果(1/3) • Class page #ipsjiot
3. 実験 3.3 Agent Botsのscriptと実行結果(2/3) • Object page #ipsjiot
3. 実験 3.3 Agent Botsのscriptと実行結果(3/3) • 出力の一部 – cmd=get repeating, date="2018/04/14 17:03:19 +0900", no=3299, if=1, smac="bc:5c:4c:5d:1c:cd", dmac="b8:27:eb:cb:d6:38", prtcl=udp, sip="192.168.13.160", dip="192.168.2.100", sp=34724, dp=33331, sha1payload="9dac7a7beb944a7193847a3d0fbcc370d13a5838", payloadLength=46, payload=broadcast id=3394824 ttl=3 cmd="message test"..... #ipsjiot
3. 実験 3.4 Analyzing Botのscriptと実行結果(5/8) #ipsjiot
3. 実験 3.4 Analyzing Botのscriptと実行結果(1/8)
3. 実験 3.4 Analyzing Botのscriptと実行結果(2/8)
3. 実験 3.4 Analyzing Botのscriptと実行結果(3/8)
3. 実験 3.4 Analyzing Botのscriptと実行結果(4/8)
3. 実験 3.4 Analyzing Botのscriptと実行結果(5/8) #ipsjiot
• Analyzing Bot のObject page の一部…LAN-1,LAN-2間P2P通信 –lan1= 0 ,date= 2018/04/14 17:06:50 +0900 , smac= b8:27:eb:cb:d6:38 ,dmac= bc:5c:4c:5d:1c:cd , sip= 192.168.2.100 ,dip= 192.168.13.160 , lan2= 1 ,date= 2018/04/14 17:06:51 +0900 , smac= bc:5c:4c:5d:1a:c9 ,dmac= b8:27:eb:2f:33:cd , sip= 192.168.13.210 ,dip= 192.168.2.102 , sha1payload= f14db4dae7a139cde5185267b8d353498850f22b , payload= broadcast id 3. 実験 3.4 Analyzing Botのscriptと実行結果(6/8)
3. 実験 3.4 Analyzing Botのscriptと実行結果(7/8)
• Analyzing Bot のObject page の一部… LAN-2,LAN-5 間P2P –lan1= 1 ,date= 2018/04/14 17:03:18 +0900 , smac= b8:27:eb:2f:33:cd ,dmac= bc:5c:4c:5d:1a:c9 , sip= 192.168.2.102 ,dip= 192.168.13.150 , lan2= 4 ,date= 2018/04/14 17:03:17 +0900 , smac= bc:5c:4c:5d:1a:bf ,dmac= b8:27:eb:3a:6b:fa , sip= 192.168.13.160 ,dip= 192.168.2.102 , sha1payload= 9dac7a7beb944a7193847a3d0fbcc370d13a5838 , payload= broadcast id 3. 実験 3.4 Analyzing Botのscriptと実行結果(8/8)
3. 実験 3.2 実験ネットワーク(1/1) #ipsjiot
• 分散IDSの agent の集合 • agents + transceivers + monitors 4. 関連研究 4.1 Autonomous Agents for Intrusion Detection (AAFID) #ipsjiot
• AAIFの agent と我々の agent bot は, どちらともコマンドによって制御され, 通信 データを収集 • Agent AAFIDのagentはclient hostに install されている – 我々の agent botはLANとそのルータ又はNAT ルータの間に設置 • AAFIDの monitor と transceiver , 我々の Analyzing Bot… agentなどからデータを 集めて, それを解析する部分で類似 • AAFIDの monitorはwiki ページの script で制御されない – 我々の agent botやanalyzing botはwikiページのscriptで制御 • Agent間の通信方式については, AAFIDについては定義されていない – 我々のbotnetはwiki APIを使っている. 4. 関連研究 4.1 Autonomous Agents for Intrusion Detection (AAFID) #ipsjiot
• Beneficial Botnet のAgent Bot はある意味、Man in the Middle 攻撃を 行う –慎重な取り扱いを必要とする。 4. 関連研究 4.2 Man in the Middle Attack #ipsjiot
• Beneficial botnetと同様に, 定期的にエージェントプログラムが Web サーバにアクセスし, そこに書かれた指示をエージェントが実行し, 結 果を Web サーバ側に戻す • エージェントプログラムとWebサーバはNATを超えて相互に通信でき る. –我々の Agent bot と同じ • キュリティ強化を目的としたものではない. • 特化したWebサーバを必要とする –beneficial botnetはopenなPukiWiki. 4. 関連研究 4.2 KASEYA and UNIFAS #ipsjiot
• ネットワークのflow 情報を使い、類似したホスト間通信を、 traffic の相関を取って見つけ、悪性Botのものと思われる通 信を弁別 • 類似したホスト間通信を見つけてP2P通信を発見しよう、 という手法において、beneficial botnetと類似。 – ネットワークのflow 情報を使うところが、Agent bot を使う beneficial botnet と異なる 4. 関連研究 BotMiner
• Thangapandiyan and Anand • BotMinerと類似。クラウド向き。 • BotMiner が独自のNetwork Flow情報を入手するライブラ リを利用しているのに対し、Ciscoが提唱する NetFlow を 利用 – BotMinerの場合と同様に、Beneficial botnet はAgent bot を使 うところが異なる。… 4. 関連研究 P2P detection using NetFlow protocol
• 中村豊他 • 複数のシステムを連携させて、異常トラヒックのみを保存 – 分散システムという意味で、beneficial botnet と類似 • 異常検知は一台の Monitor システムで発見 – Beneficial botnet は複数の bot を連携させてP2P通信を発見 4. 関連研究 侵入検知とモニタリングシステムを 組み合わせた異常トラヒックの自動保存
• 悪性botnet包囲網(beneficial botnet)(試作中) • マルウェアのP2P通信を検出できる可能性 • script を格納するための wiki ページとそのscriptのinterpreterで構成 • 悪性botnetの通信をまねる偽Gameover ZeuSも作成 • 現時点でAgent botのLAN-WAN間通信が非常に遅い • セキュリティの強化とその検証も必要 • デバッグの方法や環境についても改善する必要 5. おわりに #ipsjiot
謝辞 • JSPS科研費 16K00197 • PukiWiki, Java, Pcap4J, Eclipse, Eclipse Egit, M2Eclipse, Apache, Apache http client, twitter4j, Raspberry Pi, Raspbian • 実験の実施を手伝ってくれた学生諸君 • に感謝します.
3. 実験 3.2 実験ネットワーク(1/1) #ipsjiot

Empfohlen

悪性Botnet包囲網のBotによるWannaCryのようなマルウェアの活動検知の試み
悪性Botnet包囲網のBotによるWannaCryのようなマルウェアの活動検知の試み悪性Botnet包囲網のBotによるWannaCryのようなマルウェアの活動検知の試み
悪性Botnet包囲網のBotによるWannaCryのようなマルウェアの活動検知の試みTakashi Yamanoue
 
ゲームの通信をつくる仕事はどうなるのだろう?
ゲームの通信をつくる仕事はどうなるのだろう?ゲームの通信をつくる仕事はどうなるのだろう?
ゲームの通信をつくる仕事はどうなるのだろう?Kengo Nakajima
 
【ビットコインとか勉強会#1】トランザクションを読み解く
【ビットコインとか勉強会#1】トランザクションを読み解く【ビットコインとか勉強会#1】トランザクションを読み解く
【ビットコインとか勉強会#1】トランザクションを読み解くTomohide Murata
 
あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~
あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~
あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~IIJ
 
IoTLT-Vol92-Wiki-IoT-20221009-1.pptx
IoTLT-Vol92-Wiki-IoT-20221009-1.pptxIoTLT-Vol92-Wiki-IoT-20221009-1.pptx
IoTLT-Vol92-Wiki-IoT-20221009-1.pptxTakashi Yamanoue
 
20201028 Visual IoTLT vol.5 kitazaki
20201028 Visual IoTLT vol.5 kitazaki20201028 Visual IoTLT vol.5 kitazaki
20201028 Visual IoTLT vol.5 kitazakiAyachika Kitazaki
 
第8回 社内プログラミングコンテスト 結果発表会
第8回 社内プログラミングコンテスト 結果発表会第8回 社内プログラミングコンテスト 結果発表会
第8回 社内プログラミングコンテスト 結果発表会Fixstars Corporation
 
IKEv2-VPN PyHackCon2023
IKEv2-VPN PyHackCon2023IKEv2-VPN PyHackCon2023
IKEv2-VPN PyHackCon2023Takayuki Shimizukawa
 

Empfohlen

悪性Botnet包囲網のBotによるWannaCryのようなマルウェアの活動検知の試み
悪性Botnet包囲網のBotによるWannaCryのようなマルウェアの活動検知の試み悪性Botnet包囲網のBotによるWannaCryのようなマルウェアの活動検知の試み
悪性Botnet包囲網のBotによるWannaCryのようなマルウェアの活動検知の試みTakashi Yamanoue
 
ゲームの通信をつくる仕事はどうなるのだろう?
ゲームの通信をつくる仕事はどうなるのだろう?ゲームの通信をつくる仕事はどうなるのだろう?
ゲームの通信をつくる仕事はどうなるのだろう?Kengo Nakajima
 
【ビットコインとか勉強会#1】トランザクションを読み解く
【ビットコインとか勉強会#1】トランザクションを読み解く【ビットコインとか勉強会#1】トランザクションを読み解く
【ビットコインとか勉強会#1】トランザクションを読み解くTomohide Murata
 
あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~
あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~
あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~IIJ
 
IoTLT-Vol92-Wiki-IoT-20221009-1.pptx
IoTLT-Vol92-Wiki-IoT-20221009-1.pptxIoTLT-Vol92-Wiki-IoT-20221009-1.pptx
IoTLT-Vol92-Wiki-IoT-20221009-1.pptxTakashi Yamanoue
 
20201028 Visual IoTLT vol.5 kitazaki
20201028 Visual IoTLT vol.5 kitazaki20201028 Visual IoTLT vol.5 kitazaki
20201028 Visual IoTLT vol.5 kitazakiAyachika Kitazaki
 
第8回 社内プログラミングコンテスト 結果発表会
第8回 社内プログラミングコンテスト 結果発表会第8回 社内プログラミングコンテスト 結果発表会
第8回 社内プログラミングコンテスト 結果発表会Fixstars Corporation
 
IKEv2-VPN PyHackCon2023
IKEv2-VPN PyHackCon2023IKEv2-VPN PyHackCon2023
IKEv2-VPN PyHackCon2023Takayuki Shimizukawa
 
20191010 Blockchain GIG #5 石原様資料
20191010 Blockchain GIG #5 石原様資料20191010 Blockchain GIG #5 石原様資料
20191010 Blockchain GIG #5 石原様資料オラクルエンジニア通信
 
Rubyで創るOpenFlowネットワーク - LLまつり
Rubyで創るOpenFlowネットワーク - LLまつりRubyで創るOpenFlowネットワーク - LLまつり
Rubyで創るOpenFlowネットワーク - LLまつりYuya Rin
 
20190518 SORACOM UG 九州 x JAWS-UG 佐賀 | 基本のSORACOM Air から最新ボタンデバイスまで一気に解説?今日からあ...
20190518 SORACOM UG 九州 x JAWS-UG 佐賀 | 基本のSORACOM Air から最新ボタンデバイスまで一気に解説?今日からあ...20190518 SORACOM UG 九州 x JAWS-UG 佐賀 | 基本のSORACOM Air から最新ボタンデバイスまで一気に解説?今日からあ...
20190518 SORACOM UG 九州 x JAWS-UG 佐賀 | 基本のSORACOM Air から最新ボタンデバイスまで一気に解説?今日からあ...SORACOM,INC
 
個人開発 デプロイまでの道のり
個人開発 デプロイまでの道のり個人開発 デプロイまでの道のり
個人開発 デプロイまでの道のりK K
 
WebRTC mediasoup on raspberrypi3
WebRTC mediasoup on raspberrypi3WebRTC mediasoup on raspberrypi3
WebRTC mediasoup on raspberrypi3mganeko
 
統合ログ分析技術Lognosisと運用ログ分析の取組
統合ログ分析技術Lognosisと運用ログ分析の取組統合ログ分析技術Lognosisと運用ログ分析の取組
統合ログ分析技術Lognosisと運用ログ分析の取組NTT Software Innovation Center
 
ネットワークAPI のあれこれ (ENOG37)
ネットワークAPI のあれこれ (ENOG37)ネットワークAPI のあれこれ (ENOG37)
ネットワークAPI のあれこれ (ENOG37)Kentaro Ebisawa
 
Web applicationpenetrationtest その3
Web applicationpenetrationtest その3Web applicationpenetrationtest その3
Web applicationpenetrationtest その3Tetsuya Hasegawa
 
【招待講演】ICM研究会 - 統合ログ分析技術Lognosisと運用ログ分析の取組
【招待講演】ICM研究会 - 統合ログ分析技術Lognosisと運用ログ分析の取組【招待講演】ICM研究会 - 統合ログ分析技術Lognosisと運用ログ分析の取組
【招待講演】ICM研究会 - 統合ログ分析技術Lognosisと運用ログ分析の取組NTT Software Innovation Center
 
ネタ募集箱を支える技術 開発環境編
ネタ募集箱を支える技術 開発環境編ネタ募集箱を支える技術 開発環境編
ネタ募集箱を支える技術 開発環境編Daisuke Shimada
 
Ingress on GKE/GCE
Ingress on GKE/GCEIngress on GKE/GCE
Ingress on GKE/GCEshouta yoshikai
 
JTAGを使ってみよう
JTAGを使ってみようJTAGを使ってみよう
JTAGを使ってみようStudy Group by SciencePark Corp.
 
機械学習の環境構築でハマったこと
機械学習の環境構築でハマったこと機械学習の環境構築でハマったこと
機械学習の環境構築でハマったことStudy Group by SciencePark Corp.
 
SORACOM Discovery 2019 B2 カメラデバイスを使ったIoTシステム構築の実践
SORACOM Discovery 2019 B2 カメラデバイスを使ったIoTシステム構築の実践SORACOM Discovery 2019 B2 カメラデバイスを使ったIoTシステム構築の実践
SORACOM Discovery 2019 B2 カメラデバイスを使ったIoTシステム構築の実践SORACOM,INC
 
03 第3.6節-第3.8節 ROS2の基本機能(2/2)
03 第3.6節-第3.8節 ROS2の基本機能(2/2)03 第3.6節-第3.8節 ROS2の基本機能(2/2)
03 第3.6節-第3.8節 ROS2の基本機能(2/2)Mori Ken
 
Internet番号資源ホットトピックス(JPOPM34 2018/6/19)
Internet番号資源ホットトピックス(JPOPM34 2018/6/19)Internet番号資源ホットトピックス(JPOPM34 2018/6/19)
Internet番号資源ホットトピックス(JPOPM34 2018/6/19)Fuminori Tanizaki
 
IIJmio meeting 10 端末の動作確認(後編)
IIJmio meeting 10 端末の動作確認(後編)IIJmio meeting 10 端末の動作確認(後編)
IIJmio meeting 10 端末の動作確認(後編)techlog (Internet Initiative Japan Inc.)
 
最近こんなのやってるぜ!
最近こんなのやってるぜ!最近こんなのやってるぜ!
最近こんなのやってるぜ!Naoto MATSUMOTO
 
comparison with NFT marketplace(Opensea,Adam,My customized one).pdf
comparison with NFT marketplace(Opensea,Adam,My customized one).pdfcomparison with NFT marketplace(Opensea,Adam,My customized one).pdf
comparison with NFT marketplace(Opensea,Adam,My customized one).pdfwei-li
 
2012/06/28 #ssmjp
2012/06/28 #ssmjp2012/06/28 #ssmjp
2012/06/28 #ssmjpth0x0472
 
人が乗れる自動運転電気自動車作成中その4, -version up その1-
人が乗れる自動運転電気自動車作成中その4, -version up その1-人が乗れる自動運転電気自動車作成中その4, -version up その1-
人が乗れる自動運転電気自動車作成中その4, -version up その1-Takashi Yamanoue
 
シン3次元表示装置 ーその1ー
シン3次元表示装置 ーその1ーシン3次元表示装置 ーその1ー
シン3次元表示装置 ーその1ーTakashi Yamanoue
 

Weitere ähnliche Inhalte

Ähnlich wie 悪性Botnet包囲網におけるP2P通信検知の試み@ipsj Iot 42, 6/28, 2018

Rubyで創るOpenFlowネットワーク - LLまつり
Rubyで創るOpenFlowネットワーク - LLまつりRubyで創るOpenFlowネットワーク - LLまつり
Rubyで創るOpenFlowネットワーク - LLまつりYuya Rin
 
20190518 SORACOM UG 九州 x JAWS-UG 佐賀 | 基本のSORACOM Air から最新ボタンデバイスまで一気に解説?今日からあ...
20190518 SORACOM UG 九州 x JAWS-UG 佐賀 | 基本のSORACOM Air から最新ボタンデバイスまで一気に解説?今日からあ...20190518 SORACOM UG 九州 x JAWS-UG 佐賀 | 基本のSORACOM Air から最新ボタンデバイスまで一気に解説?今日からあ...
20190518 SORACOM UG 九州 x JAWS-UG 佐賀 | 基本のSORACOM Air から最新ボタンデバイスまで一気に解説?今日からあ...SORACOM,INC
 
個人開発 デプロイまでの道のり
個人開発 デプロイまでの道のり個人開発 デプロイまでの道のり
個人開発 デプロイまでの道のりK K
 
WebRTC mediasoup on raspberrypi3
WebRTC mediasoup on raspberrypi3WebRTC mediasoup on raspberrypi3
WebRTC mediasoup on raspberrypi3mganeko
 
統合ログ分析技術Lognosisと運用ログ分析の取組
統合ログ分析技術Lognosisと運用ログ分析の取組統合ログ分析技術Lognosisと運用ログ分析の取組
統合ログ分析技術Lognosisと運用ログ分析の取組NTT Software Innovation Center
 
ネットワークAPI のあれこれ (ENOG37)
ネットワークAPI のあれこれ (ENOG37)ネットワークAPI のあれこれ (ENOG37)
ネットワークAPI のあれこれ (ENOG37)Kentaro Ebisawa
 
Web applicationpenetrationtest その3
Web applicationpenetrationtest その3Web applicationpenetrationtest その3
Web applicationpenetrationtest その3Tetsuya Hasegawa
 
【招待講演】ICM研究会 - 統合ログ分析技術Lognosisと運用ログ分析の取組
【招待講演】ICM研究会 - 統合ログ分析技術Lognosisと運用ログ分析の取組【招待講演】ICM研究会 - 統合ログ分析技術Lognosisと運用ログ分析の取組
【招待講演】ICM研究会 - 統合ログ分析技術Lognosisと運用ログ分析の取組NTT Software Innovation Center
 
ネタ募集箱を支える技術 開発環境編
ネタ募集箱を支える技術 開発環境編ネタ募集箱を支える技術 開発環境編
ネタ募集箱を支える技術 開発環境編Daisuke Shimada
 
SORACOM Discovery 2019 B2 カメラデバイスを使ったIoTシステム構築の実践
SORACOM Discovery 2019 B2 カメラデバイスを使ったIoTシステム構築の実践SORACOM Discovery 2019 B2 カメラデバイスを使ったIoTシステム構築の実践
SORACOM Discovery 2019 B2 カメラデバイスを使ったIoTシステム構築の実践SORACOM,INC
 
03 第3.6節-第3.8節 ROS2の基本機能(2/2)
03 第3.6節-第3.8節 ROS2の基本機能(2/2)03 第3.6節-第3.8節 ROS2の基本機能(2/2)
03 第3.6節-第3.8節 ROS2の基本機能(2/2)Mori Ken
 
Internet番号資源ホットトピックス(JPOPM34 2018/6/19)
Internet番号資源ホットトピックス(JPOPM34 2018/6/19)Internet番号資源ホットトピックス(JPOPM34 2018/6/19)
Internet番号資源ホットトピックス(JPOPM34 2018/6/19)Fuminori Tanizaki
 
最近こんなのやってるぜ!
最近こんなのやってるぜ!最近こんなのやってるぜ!
最近こんなのやってるぜ!Naoto MATSUMOTO
 
comparison with NFT marketplace(Opensea,Adam,My customized one).pdf
comparison with NFT marketplace(Opensea,Adam,My customized one).pdfcomparison with NFT marketplace(Opensea,Adam,My customized one).pdf
comparison with NFT marketplace(Opensea,Adam,My customized one).pdfwei-li
 
2012/06/28 #ssmjp
2012/06/28 #ssmjp2012/06/28 #ssmjp
2012/06/28 #ssmjpth0x0472
 

Ähnlich wie 悪性Botnet包囲網におけるP2P通信検知の試み@ipsj Iot 42, 6/28, 2018 (20)

20191010 Blockchain GIG #5 石原様資料
20191010 Blockchain GIG #5 石原様資料20191010 Blockchain GIG #5 石原様資料
20191010 Blockchain GIG #5 石原様資料
 
Rubyで創るOpenFlowネットワーク - LLまつり
Rubyで創るOpenFlowネットワーク - LLまつりRubyで創るOpenFlowネットワーク - LLまつり
Rubyで創るOpenFlowネットワーク - LLまつり
 
20190518 SORACOM UG 九州 x JAWS-UG 佐賀 | 基本のSORACOM Air から最新ボタンデバイスまで一気に解説?今日からあ...
20190518 SORACOM UG 九州 x JAWS-UG 佐賀 | 基本のSORACOM Air から最新ボタンデバイスまで一気に解説?今日からあ...20190518 SORACOM UG 九州 x JAWS-UG 佐賀 | 基本のSORACOM Air から最新ボタンデバイスまで一気に解説?今日からあ...
20190518 SORACOM UG 九州 x JAWS-UG 佐賀 | 基本のSORACOM Air から最新ボタンデバイスまで一気に解説?今日からあ...
 
個人開発 デプロイまでの道のり
個人開発 デプロイまでの道のり個人開発 デプロイまでの道のり
個人開発 デプロイまでの道のり
 
WebRTC mediasoup on raspberrypi3
WebRTC mediasoup on raspberrypi3WebRTC mediasoup on raspberrypi3
WebRTC mediasoup on raspberrypi3
 
統合ログ分析技術Lognosisと運用ログ分析の取組
統合ログ分析技術Lognosisと運用ログ分析の取組統合ログ分析技術Lognosisと運用ログ分析の取組
統合ログ分析技術Lognosisと運用ログ分析の取組
 
ネットワークAPI のあれこれ (ENOG37)
ネットワークAPI のあれこれ (ENOG37)ネットワークAPI のあれこれ (ENOG37)
ネットワークAPI のあれこれ (ENOG37)
 
Web applicationpenetrationtest その3
Web applicationpenetrationtest その3Web applicationpenetrationtest その3
Web applicationpenetrationtest その3
 
【招待講演】ICM研究会 - 統合ログ分析技術Lognosisと運用ログ分析の取組
【招待講演】ICM研究会 - 統合ログ分析技術Lognosisと運用ログ分析の取組【招待講演】ICM研究会 - 統合ログ分析技術Lognosisと運用ログ分析の取組
【招待講演】ICM研究会 - 統合ログ分析技術Lognosisと運用ログ分析の取組
 
ネタ募集箱を支える技術 開発環境編
ネタ募集箱を支える技術 開発環境編ネタ募集箱を支える技術 開発環境編
ネタ募集箱を支える技術 開発環境編
 
Ingress on GKE/GCE
Ingress on GKE/GCEIngress on GKE/GCE
Ingress on GKE/GCE
 
JTAGを使ってみよう
JTAGを使ってみようJTAGを使ってみよう
JTAGを使ってみよう
 
機械学習の環境構築でハマったこと
機械学習の環境構築でハマったこと機械学習の環境構築でハマったこと
機械学習の環境構築でハマったこと
 
SORACOM Discovery 2019 B2 カメラデバイスを使ったIoTシステム構築の実践
SORACOM Discovery 2019 B2 カメラデバイスを使ったIoTシステム構築の実践SORACOM Discovery 2019 B2 カメラデバイスを使ったIoTシステム構築の実践
SORACOM Discovery 2019 B2 カメラデバイスを使ったIoTシステム構築の実践
 
03 第3.6節-第3.8節 ROS2の基本機能(2/2)
03 第3.6節-第3.8節 ROS2の基本機能(2/2)03 第3.6節-第3.8節 ROS2の基本機能(2/2)
03 第3.6節-第3.8節 ROS2の基本機能(2/2)
 
Internet番号資源ホットトピックス(JPOPM34 2018/6/19)
Internet番号資源ホットトピックス(JPOPM34 2018/6/19)Internet番号資源ホットトピックス(JPOPM34 2018/6/19)
Internet番号資源ホットトピックス(JPOPM34 2018/6/19)
 
IIJmio meeting 10 端末の動作確認(後編)
IIJmio meeting 10 端末の動作確認(後編)IIJmio meeting 10 端末の動作確認(後編)
IIJmio meeting 10 端末の動作確認(後編)
 
最近こんなのやってるぜ!
最近こんなのやってるぜ!最近こんなのやってるぜ!
最近こんなのやってるぜ!
 
comparison with NFT marketplace(Opensea,Adam,My customized one).pdf
comparison with NFT marketplace(Opensea,Adam,My customized one).pdfcomparison with NFT marketplace(Opensea,Adam,My customized one).pdf
comparison with NFT marketplace(Opensea,Adam,My customized one).pdf
 
2012/06/28 #ssmjp
2012/06/28 #ssmjp2012/06/28 #ssmjp
2012/06/28 #ssmjp
 

Mehr von Takashi Yamanoue

人が乗れる自動運転電気自動車作成中その4, -version up その1-
人が乗れる自動運転電気自動車作成中その4, -version up その1-人が乗れる自動運転電気自動車作成中その4, -version up その1-
人が乗れる自動運転電気自動車作成中その4, -version up その1-Takashi Yamanoue
 
シン3次元表示装置 ーその1ー
シン3次元表示装置 ーその1ーシン3次元表示装置 ーその1ー
シン3次元表示装置 ーその1ーTakashi Yamanoue
 
Wiki IoT/Bot Computingを使った顔ロボット群の制御
Wiki IoT/Bot Computingを使った顔ロボット群の制御Wiki IoT/Bot Computingを使った顔ロボット群の制御
Wiki IoT/Bot Computingを使った顔ロボット群の制御Takashi Yamanoue
 
IoTLT-Vol93-Wiki-IoT-20221117.pptx
IoTLT-Vol93-Wiki-IoT-20221117.pptxIoTLT-Vol93-Wiki-IoT-20221117.pptx
IoTLT-Vol93-Wiki-IoT-20221117.pptxTakashi Yamanoue
 
人が乗れる 自動運転電気自動車作成中その3 -自動運転成功!-
人が乗れる 自動運転電気自動車作成中その3 -自動運転成功!-人が乗れる 自動運転電気自動車作成中その3 -自動運転成功!-
人が乗れる 自動運転電気自動車作成中その3 -自動運転成功!-Takashi Yamanoue
 
人が乗れる 自動運転 電気自動車 作成中!
人が乗れる 自動運転 電気自動車 作成中!人が乗れる 自動運転 電気自動車 作成中!
人が乗れる 自動運転 電気自動車 作成中!Takashi Yamanoue
 
着る電光掲示板の新機能  -場所に応じた情報の自動表示-
着る電光掲示板の新機能  -場所に応じた情報の自動表示-着る電光掲示板の新機能  -場所に応じた情報の自動表示-
着る電光掲示板の新機能  -場所に応じた情報の自動表示-Takashi Yamanoue
 
Real->Virtual変換システムの開発その1の2
Real->Virtual変換システムの開発その1の2Real->Virtual変換システムの開発その1の2
Real->Virtual変換システムの開発その1の2Takashi Yamanoue
 
Real->Virtual 変換システムの開発その1の1
Real->Virtual 変換システムの開発その1の1Real->Virtual 変換システムの開発その1の1
Real->Virtual 変換システムの開発その1の1Takashi Yamanoue
 
スマートフォンで操作する双方向型大型デジタルサイネージシステムの試作
スマートフォンで操作する双方向型大型デジタルサイネージシステムの試作スマートフォンで操作する双方向型大型デジタルサイネージシステムの試作
スマートフォンで操作する双方向型大型デジタルサイネージシステムの試作Takashi Yamanoue
 
SeeThroughChameleonDress-on-the-way-ex1
SeeThroughChameleonDress-on-the-way-ex1SeeThroughChameleonDress-on-the-way-ex1
SeeThroughChameleonDress-on-the-way-ex1Takashi Yamanoue
 
PukiWiki と Raspberry Pi と Arduino を連携させてIoT システムを作ってみた話
PukiWiki と Raspberry Pi と Arduino を連携させてIoT システムを作ってみた話PukiWiki と Raspberry Pi と Arduino を連携させてIoT システムを作ってみた話
PukiWiki と Raspberry Pi と Arduino を連携させてIoT システムを作ってみた話Takashi Yamanoue
 
Zoomはぶっ飛ばせないけど... - Portable Cloud の紹介
Zoomはぶっ飛ばせないけど... - Portable Cloud の紹介Zoomはぶっ飛ばせないけど... - Portable Cloud の紹介
Zoomはぶっ飛ばせないけど... - Portable Cloud の紹介Takashi Yamanoue
 
簡便な大型幅広デジタルサイネージシステムとその自動運用システム
簡便な大型幅広デジタルサイネージシステムとその自動運用システム簡便な大型幅広デジタルサイネージシステムとその自動運用システム
簡便な大型幅広デジタルサイネージシステムとその自動運用システムTakashi Yamanoue
 
Wiki と Raspberry Pi と Arduino を組み合わせて作成した電気製品の自動運転・遠隔操作システム
Wiki と Raspberry Pi と Arduino を組み合わせて作成した電気製品の自動運転・遠隔操作システムWiki と Raspberry Pi と Arduino を組み合わせて作成した電気製品の自動運転・遠隔操作システム
Wiki と Raspberry Pi と Arduino を組み合わせて作成した電気製品の自動運転・遠隔操作システムTakashi Yamanoue
 
Bot Computing using the Power of Wiki Collaboration
Bot Computing using the Power of Wiki CollaborationBot Computing using the Power of Wiki Collaboration
Bot Computing using the Power of Wiki CollaborationTakashi Yamanoue
 
Bot Computing and its Application to Solve Minimal Path Problems
Bot Computing and its Application to Solve Minimal Path ProblemsBot Computing and its Application to Solve Minimal Path Problems
Bot Computing and its Application to Solve Minimal Path ProblemsTakashi Yamanoue
 

Mehr von Takashi Yamanoue (20)

人が乗れる自動運転電気自動車作成中その4, -version up その1-
人が乗れる自動運転電気自動車作成中その4, -version up その1-人が乗れる自動運転電気自動車作成中その4, -version up その1-
人が乗れる自動運転電気自動車作成中その4, -version up その1-
 
シン3次元表示装置 ーその1ー
シン3次元表示装置 ーその1ーシン3次元表示装置 ーその1ー
シン3次元表示装置 ーその1ー
 
Wiki IoT/Bot Computingを使った顔ロボット群の制御
Wiki IoT/Bot Computingを使った顔ロボット群の制御Wiki IoT/Bot Computingを使った顔ロボット群の制御
Wiki IoT/Bot Computingを使った顔ロボット群の制御
 
IoTLT-Vol93-Wiki-IoT-20221117.pptx
IoTLT-Vol93-Wiki-IoT-20221117.pptxIoTLT-Vol93-Wiki-IoT-20221117.pptx
IoTLT-Vol93-Wiki-IoT-20221117.pptx
 
人が乗れる 自動運転電気自動車作成中その3 -自動運転成功!-
人が乗れる 自動運転電気自動車作成中その3 -自動運転成功!-人が乗れる 自動運転電気自動車作成中その3 -自動運転成功!-
人が乗れる 自動運転電気自動車作成中その3 -自動運転成功!-
 
人が乗れる 自動運転 電気自動車 作成中!
人が乗れる 自動運転 電気自動車 作成中!人が乗れる 自動運転 電気自動車 作成中!
人が乗れる 自動運転 電気自動車 作成中!
 
着る電光掲示板の新機能  -場所に応じた情報の自動表示-
着る電光掲示板の新機能  -場所に応じた情報の自動表示-着る電光掲示板の新機能  -場所に応じた情報の自動表示-
着る電光掲示板の新機能  -場所に応じた情報の自動表示-
 
Real->Virtual変換システムの開発その1の2
Real->Virtual変換システムの開発その1の2Real->Virtual変換システムの開発その1の2
Real->Virtual変換システムの開発その1の2
 
Real->Virtual 変換システムの開発その1の1
Real->Virtual 変換システムの開発その1の1Real->Virtual 変換システムの開発その1の1
Real->Virtual 変換システムの開発その1の1
 
スマートフォンで操作する双方向型大型デジタルサイネージシステムの試作
スマートフォンで操作する双方向型大型デジタルサイネージシステムの試作スマートフォンで操作する双方向型大型デジタルサイネージシステムの試作
スマートフォンで操作する双方向型大型デジタルサイネージシステムの試作
 
Teleport dressor 20200524
Teleport dressor 20200524Teleport dressor 20200524
Teleport dressor 20200524
 
SeeThroughChameleonDress-on-the-way-ex1
SeeThroughChameleonDress-on-the-way-ex1SeeThroughChameleonDress-on-the-way-ex1
SeeThroughChameleonDress-on-the-way-ex1
 
PukiWiki と Raspberry Pi と Arduino を連携させてIoT システムを作ってみた話
PukiWiki と Raspberry Pi と Arduino を連携させてIoT システムを作ってみた話PukiWiki と Raspberry Pi と Arduino を連携させてIoT システムを作ってみた話
PukiWiki と Raspberry Pi と Arduino を連携させてIoT システムを作ってみた話
 
Zoomはぶっ飛ばせないけど... - Portable Cloud の紹介
Zoomはぶっ飛ばせないけど... - Portable Cloud の紹介Zoomはぶっ飛ばせないけど... - Portable Cloud の紹介
Zoomはぶっ飛ばせないけど... - Portable Cloud の紹介
 
trouble-with-mboed-os
trouble-with-mboed-ostrouble-with-mboed-os
trouble-with-mboed-os
 
簡便な大型幅広デジタルサイネージシステムとその自動運用システム
簡便な大型幅広デジタルサイネージシステムとその自動運用システム簡便な大型幅広デジタルサイネージシステムとその自動運用システム
簡便な大型幅広デジタルサイネージシステムとその自動運用システム
 
Wiki と Raspberry Pi と Arduino を組み合わせて作成した電気製品の自動運転・遠隔操作システム
Wiki と Raspberry Pi と Arduino を組み合わせて作成した電気製品の自動運転・遠隔操作システムWiki と Raspberry Pi と Arduino を組み合わせて作成した電気製品の自動運転・遠隔操作システム
Wiki と Raspberry Pi と Arduino を組み合わせて作成した電気製品の自動運転・遠隔操作システム
 
Bot Computing using the Power of Wiki Collaboration
Bot Computing using the Power of Wiki CollaborationBot Computing using the Power of Wiki Collaboration
Bot Computing using the Power of Wiki Collaboration
 
Bot Computing and its Application to Solve Minimal Path Problems
Bot Computing and its Application to Solve Minimal Path ProblemsBot Computing and its Application to Solve Minimal Path Problems
Bot Computing and its Application to Solve Minimal Path Problems
 
Iots2018 20181203
Iots2018 20181203Iots2018 20181203
Iots2018 20181203
 

Kürzlich hochgeladen

【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)Hiroki Ichikura
 
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略Ryo Sasaki
 
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムスマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムsugiuralab
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNetToru Tamaki
 
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...Toru Tamaki
 
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A surveyToru Tamaki
 
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdftaisei2219
 
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですSOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですiPride Co., Ltd.
 
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By DanielPostman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Danieldanielhu54
 
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Yuma Ohgami
 

Kürzlich hochgeladen (10)

【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
 
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
 
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムスマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
 
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
 
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
 
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
 
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですSOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
 
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By DanielPostman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
 
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
 

悪性Botnet包囲網におけるP2P通信検知の試み@ipsj Iot 42, 6/28, 2018

  • 3. 目次 • 1. はじめに • 2. 悪性 Botnet 包囲網 • 3. 実験 • 4. 関連研究 • 5. おわりに #ipsjiot
  • 4. 1. はじめに (1/6) • ネットワーク管理者やセキュリティ担当者 …悪性Botnetに頭を抱えている. #ipsjiot
  • 5. • 悪性Botnet – 迷惑メール – DDoS攻撃 – Click Fraud – 利用者の銀行口座やクレジットカード番号の盗み – 粘り強い • Botnetの中のいくつかのBotを見つけて対処して も, Botnetは悪事を続ける – … – 日々進化 1. はじめに (2/6) #ipsjiot
  • 6. • 2000年代中頃 …Agobot/Phatbot [6]など – Peer To Peer (P2P)ネットワーク • 2000年代後半…conficker[2]など – ドメイン生成アルゴリズム(Domain Generation Algorithm, DGA) – 1. はじめに (3/6) #ipsjiot
  • 7. • Gameover ZeuS – 警察組織の国際的な連携により, 2014年に壊滅 – FBIの公表[4]によると, 損失は1億ドル – 「2番目の中央集中型のZeusはP2P Zeus または Gameover と して知られるpeer-to-peer (P2P)の変種に変異した. P2P Zeus は 中央集中型 command and control (C2) サーバには依存しないた め, 従来型のZeus に対する対応に免疫がある」[1] 1. はじめに (4/6) #ipsjiot
  • 8. • P2P機能を持ったbotnetは検知しにくく, 壊滅させるのが困難 – Gameover Zeus が壊滅までにこのような多額の損失を与え, 国際的 な連携のような大きな努力を必要としたのはGameover ZeusがP2P 機能を獲得したことも原因の一つ • Gameover ZeuSは壊滅したが, 同様のP2P botnet が組織内で 活動する可能性はあり. • 組織の出入り口に設置された1台の侵入検知システム (Intrusion Detection System, IDS) でP2P通信を使う組織内の ボットの検知は困難. 1. はじめに (5/6) #ipsjiot
  • 9. • 悪性Botnetの技術に対処したい – 我々が従来から開発を続けていた良性Bot[13][14][15][16][17]を使って, 悪性Botnet包囲網(良性Botnet) を開発中 – 良性Botnetは良性Botのグループ • LANのNatの内側に設置するAgent Bot • Agent Botによって選択収集されたデータを解析するAnalyzing Bot – 良性Botnetは, 良性Botに協調動作をさせることにより, P2P通信を検 出する能力を持つ. 1. はじめに (6/6) #ipsjiot
  • 12. 他に使えるコマンド set pageName <page-name> include <url> Wiki ページの例 2. 悪性Botnet包囲網 2.2悪性bonet包囲網のbot(2/2) #ipsjiot
  • 14. 2. 悪性Botnet包囲網 2.3 Agent Bot (2/4) • Buffers – Packet History • Sub buffers for every (Source IP, Destination IP) • 時間と Payload のSha1 hash も一緒に格納 – MAC-list – Domain-list – Dhcp-list – Arp-list #ipsjiot
  • 15. • 良性botの言語プロセッサ – CSV parser – 表操作/表計算関数 • Analyzing Bot – 良性botの言語プロセッサの機能 – R (IOTS2016 で発表) 2. 悪性Botnet包囲網 2.4 Analyzing Bot (1/1) #ipsjiot
  • 16. 3. 実験 3.1 偽 Gameover ZeuS(1/2) • Gameover ZeuS #ipsjiot
  • 17. 3. 実験 3.1 偽 Gameover ZeuS(2/2) • Pseudo Gameover ZeuS #ipsjiot Gameover ZeuSのソースコード は公開されているが、 そのまま使うと危険
  • 19. 3. 実験 3.3 Agent Botsのscriptと実行結果(1/3) • Class page #ipsjiot
  • 20. 3. 実験 3.3 Agent Botsのscriptと実行結果(2/3) • Object page #ipsjiot
  • 21. 3. 実験 3.3 Agent Botsのscriptと実行結果(3/3) • 出力の一部 – cmd=get repeating, date="2018/04/14 17:03:19 +0900", no=3299, if=1, smac="bc:5c:4c:5d:1c:cd", dmac="b8:27:eb:cb:d6:38", prtcl=udp, sip="192.168.13.160", dip="192.168.2.100", sp=34724, dp=33331, sha1payload="9dac7a7beb944a7193847a3d0fbcc370d13a5838", payloadLength=46, payload=broadcast id=3394824 ttl=3 cmd="message test"..... #ipsjiot
  • 22. 3. 実験 3.4 Analyzing Botのscriptと実行結果(5/8) #ipsjiot
  • 23. 3. 実験 3.4 Analyzing Botのscriptと実行結果(1/8)
  • 24. 3. 実験 3.4 Analyzing Botのscriptと実行結果(2/8)
  • 25. 3. 実験 3.4 Analyzing Botのscriptと実行結果(3/8)
  • 26. 3. 実験 3.4 Analyzing Botのscriptと実行結果(4/8)
  • 27. 3. 実験 3.4 Analyzing Botのscriptと実行結果(5/8) #ipsjiot
  • 28. • Analyzing Bot のObject page の一部…LAN-1,LAN-2間P2P通信 –lan1= 0 ,date= 2018/04/14 17:06:50 +0900 , smac= b8:27:eb:cb:d6:38 ,dmac= bc:5c:4c:5d:1c:cd , sip= 192.168.2.100 ,dip= 192.168.13.160 , lan2= 1 ,date= 2018/04/14 17:06:51 +0900 , smac= bc:5c:4c:5d:1a:c9 ,dmac= b8:27:eb:2f:33:cd , sip= 192.168.13.210 ,dip= 192.168.2.102 , sha1payload= f14db4dae7a139cde5185267b8d353498850f22b , payload= broadcast id 3. 実験 3.4 Analyzing Botのscriptと実行結果(6/8)
  • 29. 3. 実験 3.4 Analyzing Botのscriptと実行結果(7/8)
  • 30. • Analyzing Bot のObject page の一部… LAN-2,LAN-5 間P2P –lan1= 1 ,date= 2018/04/14 17:03:18 +0900 , smac= b8:27:eb:2f:33:cd ,dmac= bc:5c:4c:5d:1a:c9 , sip= 192.168.2.102 ,dip= 192.168.13.150 , lan2= 4 ,date= 2018/04/14 17:03:17 +0900 , smac= bc:5c:4c:5d:1a:bf ,dmac= b8:27:eb:3a:6b:fa , sip= 192.168.13.160 ,dip= 192.168.2.102 , sha1payload= 9dac7a7beb944a7193847a3d0fbcc370d13a5838 , payload= broadcast id 3. 実験 3.4 Analyzing Botのscriptと実行結果(8/8)
  • 32. • 分散IDSの agent の集合 • agents + transceivers + monitors 4. 関連研究 4.1 Autonomous Agents for Intrusion Detection (AAFID) #ipsjiot
  • 33. • AAIFの agent と我々の agent bot は, どちらともコマンドによって制御され, 通信 データを収集 • Agent AAFIDのagentはclient hostに install されている – 我々の agent botはLANとそのルータ又はNAT ルータの間に設置 • AAFIDの monitor と transceiver , 我々の Analyzing Bot… agentなどからデータを 集めて, それを解析する部分で類似 • AAFIDの monitorはwiki ページの script で制御されない – 我々の agent botやanalyzing botはwikiページのscriptで制御 • Agent間の通信方式については, AAFIDについては定義されていない – 我々のbotnetはwiki APIを使っている. 4. 関連研究 4.1 Autonomous Agents for Intrusion Detection (AAFID) #ipsjiot
  • 34. • Beneficial Botnet のAgent Bot はある意味、Man in the Middle 攻撃を 行う –慎重な取り扱いを必要とする。 4. 関連研究 4.2 Man in the Middle Attack #ipsjiot
  • 35. • Beneficial botnetと同様に, 定期的にエージェントプログラムが Web サーバにアクセスし, そこに書かれた指示をエージェントが実行し, 結 果を Web サーバ側に戻す • エージェントプログラムとWebサーバはNATを超えて相互に通信でき る. –我々の Agent bot と同じ • キュリティ強化を目的としたものではない. • 特化したWebサーバを必要とする –beneficial botnetはopenなPukiWiki. 4. 関連研究 4.2 KASEYA and UNIFAS #ipsjiot
  • 36. • ネットワークのflow 情報を使い、類似したホスト間通信を、 traffic の相関を取って見つけ、悪性Botのものと思われる通 信を弁別 • 類似したホスト間通信を見つけてP2P通信を発見しよう、 という手法において、beneficial botnetと類似。 – ネットワークのflow 情報を使うところが、Agent bot を使う beneficial botnet と異なる 4. 関連研究 BotMiner
  • 37. • Thangapandiyan and Anand • BotMinerと類似。クラウド向き。 • BotMiner が独自のNetwork Flow情報を入手するライブラ リを利用しているのに対し、Ciscoが提唱する NetFlow を 利用 – BotMinerの場合と同様に、Beneficial botnet はAgent bot を使 うところが異なる。… 4. 関連研究 P2P detection using NetFlow protocol
  • 38. • 中村豊他 • 複数のシステムを連携させて、異常トラヒックのみを保存 – 分散システムという意味で、beneficial botnet と類似 • 異常検知は一台の Monitor システムで発見 – Beneficial botnet は複数の bot を連携させてP2P通信を発見 4. 関連研究 侵入検知とモニタリングシステムを 組み合わせた異常トラヒックの自動保存
  • 39. • 悪性botnet包囲網(beneficial botnet)(試作中) • マルウェアのP2P通信を検出できる可能性 • script を格納するための wiki ページとそのscriptのinterpreterで構成 • 悪性botnetの通信をまねる偽Gameover ZeuSも作成 • 現時点でAgent botのLAN-WAN間通信が非常に遅い • セキュリティの強化とその検証も必要 • デバッグの方法や環境についても改善する必要 5. おわりに #ipsjiot
  • 40. 謝辞 • JSPS科研費 16K00197 • PukiWiki, Java, Pcap4J, Eclipse, Eclipse Egit, M2Eclipse, Apache, Apache http client, twitter4j, Raspberry Pi, Raspbian • 実験の実施を手伝ってくれた学生諸君 • に感謝します.