課題

7.2 課題

7.2.1 ボットネットの検知について

この研究ではMWのダウンロードに対する，2.2節で述べた文字列検索に重点をおいて 行ったが，文字列だけでは通常の通信を含めた場合の感染判定は難しい. また，特徴量を用 いたシグネチャによる検知では，日々進化する攻撃に対応することが難しいため，他の検知 手法を考える必要がある．

7.2.2 Drive-by-download攻撃の検知について

解析に用いたデータ量が少ないため，解析結果が有効であるかどうか見極めることが難し い．今後の課題としては，クライアント型ハニーポットを作成し長期間のデータを取得した 上で，aprioriやprefixspanのようなデータマイニングを用いる必要がある．

参 考 文 献

[1] FBI Operation Ghost Click:

http://www.fbi.gov/news/stories/2011/november/malware_110911

[2] Gumblarと類似したWebサイト改ざんを利用する攻撃:

http://www-935.ibm.com/services/jp/ja/it-services/conspov/

jp-gr-iss-weekly-soc-report-20100204.html

[3] 危険なWebサイトの世界分布:

http://www.mcafee.com/japan/media/mcafeeb2b/international/japan/pdf/

threatreport/1010_MTMW_Report.pdf

[4] Internet Infrastructure Review vol.7 - IIJ:

http://www.iij.ad.jp/company/development/report/iir/pdf/iir_vol07.pdf

[5] Guofei Gu, Junjie Zhang and Wenke Lee: “Botsniffer: Detecting botnet command and control channel, ” Internet Society，Proc．of Network and Distributed System Security Symposium(NDSS 2008), Feb. 2008．

[6] virustotal:

https://www.virustotal.com/

[7] aguse:

http://www.aguse.jp/

[8] chaosreader:

http://chaosreader.sourceforge.net/

[9] clamav:

http://www.clamav.net/lang/en/

[10] tcpflow:

http://www.circlemud.org/jelson/software/tcpflow/

[11] Cyber Clean Center:

https://www.ccc.go.jp/

参考文献 42

[12] Mitsuaki Akiyama, et al: “Design and Implementation of High Interaction Client Honeypot for Drive-by-download Attacks, IEICE Transaction s on Communication”， Vol.E93-B No.5 pp.1131-1139 (2010.05)

[13] MALWARE DOMAIN LIST:

http://www.malwaredomainlist.com/

[14] 竹森，他: “ボットネットおよびボットコードセットの耐性解析”，マルウェア対策研究 人材育成 ワークショップ2008 (MWS2008)，pp. 49-54，2008．

[15] 水谷，他: “通信の状態遷移に着目したボット活動の調査”，マルウェア対策研究人材育 成 ワークショップ2008 (MWS2008)，pp. 25-30，2008．

[16] 石井，佐藤，田端，“ダウンロードホストに着目したマルウェアの活動傾向分析”，マル ウェア対策研究人材育成 ワークショップ2008 (MWS2008)，pp. 97-102，2008． [17] 小櫻，津田，鳥居，“ウイルスのライフサイクルに着目した攻撃挙動の見える化”,マル

ウェア対策研究人材育成 ワークショップ2008 (MWS2008), pp. 55-59，2008． [18] 藤原，寺田，安部，菊池“マルウェアの感染動作に基づく分類に関する検討”,情報処理

学会, pp. 177-182, 2008．

[19] 松木，他: “時系列分析による連鎖感染の可視化と検体種別の推測”，マルウェア対策研 究人材育成 ワークショップ2008 (MWS2008), pp. 37-42, 2008．

[20] 東角，鳥居，“DNS 通信の挙動からみたボット感染検知方式の検討”，マルウェア対策 研究人材育成 ワークショップ2008 (MWS2008), pp. 13-18, 2008．

[21] 仲小路，他: “パケット送受信における同調活動に着目した ボット感染ノードへの指令お よび反応活動の可視化”，マルウェア対策研究人材育成 ワークショップ2008 (MWS2008), pp. 31-36, 2008．

[22] Guofei Gu, Phillip Porras, Vinod Yegneswaran, Martin Fong, and Wenke Lee:

“BotHunter: Detecting Malware Infection Through IDS-Driven Dialog Correlation,”

USENIX, Proc. of 16th USENIX Security Symposium, 2007.

[23] 畑田，中津留，寺田，篠田: “マルウェア対策のための研究用データセットとワーク ショップを通じた研究成果の共有”，マルウェア対策研究人材育成 ワークショップ2009 (MWS2009), pp. 1-8, 2009．

[24] Network Grep，http://ngrep.sourceforge.net/ (2009年10月参照)．

参考文献 43

[25] Quinlan，J．R．: “C4.5 Progarams for Machine Learning”，Morgan Kaufmann，San Mateo, California．

[26] 並木，菊池: “ユーザビリティの高いGUIベースの決定木学習ツールID3Eの開発”，情 報処理学会第67回全国大会，vol．w-8，3，pp. 249-250．2005．

[27] tcpflow，http://www.circlemud.org/~jelson/software/tcpflow/ (2009年11月 参照)．

[28] 畑田，他: “複数観測データを用いたボットネットの活動分析に関する一考察”，マル ウェア対策研究人材育成 ワークショップ 2008 (MWS2008)，pp. 87-92, 2008．

[29] 阿部義徳，田中英彦: “C&Cセッション分類によるボットネットの検出手法の一検討”， FIT2007, L-033, pp. 77-78, 2007．

[30] Alexander Moshchuk, Tanya Bragin, Steven D. Gribble, and Henry M. Levy: “A Crawler-based Study of Spyware on the Web”

[31] 水谷 正慶，武田 圭史，村井 純: “Web感染型悪性プログラムの分析と検知手法の提 案”，電子情報通信学会論文誌. B, 通信 J92-B(10), 1631-1642, 2009-10-01

[32] 阪井 哲晴，寺田 真敏，土居 範久: “Webサイトに埋め込まれたインジェクション攻撃の追 跡検知システムの提案”，情報処理学会研究報告，Vol.2010-CSEC-48 No.9, 2010-03-04 [33] 畑田 充弘，中津留 勇，秋山 満昭，三輪 信介: “マルウェア対策のための研究用データ セット∼MWS 2010 Datasets ∼”，マルウェア対策研究人材育成ワークショップ2010

（MWS2010），2010． [34] jsunpack-n:

https://code.google.com/p/jsunpack-n/

[35] Andrew Brandta:

“When admins attack: 30 hours in the life of a Gumblar victim”

[36] インジェクション - 3129:

http://jvnrss.ise.chuo-u.ac.jp/csn/

[37] 畑田 充弘，中津留 勇，秋山 満昭: “マルウェア対策のための研究用データセット∼MWS 2011 Datasets ∼”，マルウェア対策研究人材育成ワークショップ2011（MWS2011），

2011． [38] CVE:

http://cve.mitre.org/

44

業 績 リ ス ト

[1] 桑原和也，藤原将志，菊池浩明，寺田真敏，“パケットキャプチャーから感染種類を 判定する発見的手法について”，マルウェア対策研究人材育成ワークショップ2009

（MWS2009），pp.397-402，2009．

[2] K. Kazuya, Hiroaki Kikuchi, Masashi Fujiwara and Masato Terada, 4th Interna-tional Workshop on Advances in Information Security (WAIS2010)，pp.603-607， 2010．

[3] 桑原和也，藤原将志，菊池浩明，寺田真敏，“ボットネットの連携感染を判定する発見 的手法について”，情報処理学会論文誌，Vol.51 No9，pp.1600-1609，2010．

[4] 桑原和也，安藤 槙悟，藤原将志，菊池浩明，寺田真敏，趙 晋輝，“パスシーケンスに 基づくDrive-by-Download攻撃の分類”，マルウェア対策研究人材育成ワークショップ 2010（MWS2010），pp.771-776，2010．

[5] 2009年度マルウェア対策研究人材育成ワークショップ 学生論文発表賞，MWS 2009.