⑤ YES
B- DATA Bot-BL
ボット感染ホスト
Bot-GL
インターネット上から取得したボットネットに関する ブラックリスト
インターネット上から取得したボットネットに関する ドメインのリスト
4. 59
4. 第二段トレースバックシステム 第二段トレースバックシステム フロー フロー
ホワイトリスト
通信デ タ破棄 YES
①
②
通信データ取得
照合
Bot BL照合
通信データ破棄
管理者に通達 YES
NO
③ Bot-BL照合
Bot-GL照合
管理者に通達 YES
NO
④ Bot GL照合 NO
ブラックリスト YES
⑤ ブラックリスト
による検知
ホストのIPアドレスを Bot-GLに登録 NO
⑤
⑥
通信データを B DATAに記録
数量化理論 による検知
Bot GLに登録
YES
通信データを
⑥
B-DATAに記録
NO
H-DATAに記録4. 60
4. 第二段トレースバックシステム構成 第二段トレースバックシステム構成
6 数量化理論2類を用いた検知処理 6.数量化理論2類を用いた検知処理
•
検知 IPアドレスをBot-GL
に登録/
管理者通達 通信デ タをB DATA
に記録通信データを
B-DATA
に記録•
無検知 次の処理に移行インターネット
NW
管理者β
ルータ
H-DATA
ホワイトリスト ボットリストBot-BL
ボット感染ホスト
B-DATA Bot-GL
4. 61
4. 第二段トレースバックシステム 第二段トレースバックシステム フロー フロー
ホワイトリスト
通信デ タ破棄 YES
①
②
通信データ取得
照合
Bot BL照合
通信データ破棄
管理者に通達 YES
NO
③ Bot-BL照合
Bot-GL照合
管理者に通達 YES
NO
④ Bot GL照合 NO
ブラックリスト YES
⑤ ブラックリスト
による検知
ホストのIPアドレスを Bot-GLに登録 NO
⑤
⑦
通信データを B DATAに記録
数量化理論 による検知
Bot GLに登録
YES
通信データを
H DATA
に記録⑥
⑦
B-DATAに記録
NO H-DATA
に記録4. 62
4. 第二段トレースバックシステム構成 第二段トレースバックシステム構成
7 全ての通信デ タの記録 7.全ての通信データの記録
H-DATA
に全ての通信記録を一定時間記録第一段からの攻撃連絡時に対応
インターネット
NW
管理者β
ルータ
ホワイトリスト
H
-DATA
ボットリストBot-BL
B-DATAボット感染ホスト
Bot-
GL
4. 63
4. 第二段トレースバックシステム 第二段トレースバックシステム フロー フロー
ホワイトリスト YES
①
②
通信データ取得
照合
Bot BL照合 YES 管理者に通達
NO
③ Bot-BL照合
Bot-GL照合
管理者に通達 YES
NO
④ Bot GL照合 NO
ブラックリスト YES
⑤ ブラックリスト
による検知
ホストのIPアドレスを Bot-GLに登録 NO
⑤
通信データを B DATAに記録 数量化理論
による検知
Bot GLに登録 YES
NO
通信データを
⑥
B-DATAに記録
NO H-DATAに記録
4. 64
4. 第二段トレースバックシステム構成 第二段トレースバックシステム構成
Bot BL に登録されたホスト処理 第三段トレースバックとの連携①
Bot-BL に登録されたホスト処理
NW
管理者α
NW
管理者β NW
管理者α
ボットPC
調査
・NW管理者
β
はNW管理者α
に強い警告を行う・NW管理者NW管理者