DATA Bot-BL

ボット感染ホスト

Bot-GL

インターネット上から取得したボットネットに関する ブラックリスト

インターネット上から取得したボットネットに関する ドメインのリスト

４． 59

４． 第二段トレースバックシステム 第二段トレースバックシステム フロー フロー

ホワイトリスト

通信デ タ破棄 YES

①

②

通信データ取得

照合

Bot BL照合

通信データ破棄

管理者に通達 YES

NO

③ Bot-BL照合

Bot-GL照合

管理者に通達 YES

NO

④ Bot GL照合 NO

ブラックリスト YES

⑤ _{ブラックリスト}

による検知

ホストのIPアドレスを Bot-GLに登録 NO

⑤

⑥

通信データを B DATAに記録

数量化理論 による検知

Bot GLに登録

YES

通信データを

⑥

B-DATAに記録

NO

^{H-DATAに記録}

４． 60

４． 第二段トレースバックシステム構成 第二段トレースバックシステム構成

６ 数量化理論２類を用いた検知処理 ６．数量化理論２類を用いた検知処理

•

検知 ＩＰアドレスを

Bot-GL

に登録

/

管理者通達 通信デ タを

B DATA

に記録

通信データを

B-DATA

に記録

•

無検知 次の処理に移行

インターネット

NW

管理者

β

ルータ

H-DATA

ホワイトリスト ボットリスト

Bot-BL

ボット感染ホスト

B-DATA Bot-GL

４． 61

４． 第二段トレースバックシステム 第二段トレースバックシステム フロー フロー

ホワイトリスト

通信デ タ破棄 YES

①

②

通信データ取得

照合

Bot BL照合

通信データ破棄

管理者に通達 YES

NO

③ Bot-BL照合

Bot-GL照合

管理者に通達 YES

NO

④ Bot GL照合 NO

ブラックリスト YES

⑤ _{ブラックリスト}

による検知

ホストのIPアドレスを Bot-GLに登録 NO

⑤

⑦

通信データを B DATAに記録

数量化理論 による検知

Bot GLに登録

YES

通信データを

H DATA

に記録

⑥

⑦

B-DATAに記録

NO H-DATA

に記録

４． 62

４． 第二段トレースバックシステム構成 第二段トレースバックシステム構成

７ 全ての通信デ タの記録 ７．全ての通信データの記録

H-DATA

に全ての通信記録を一定時間記録

第一段からの攻撃連絡時に対応

インターネット

NW

管理者

β

ルータ

ホワイトリスト

Ｈ

-DATA

^{ボットリスト}

Bot-BL

Ｂ-DATA

ボット感染ホスト

Bot-

Ｇ

L

４． 63

４． 第二段トレースバックシステム 第二段トレースバックシステム フロー フロー

ホワイトリスト YES

①

②

通信データ取得

照合

Bot BL照合 YES 管理者に通達

NO

③ Bot-BL照合

Bot-GL照合

管理者に通達 YES

NO

④ Bot GL照合 NO

ブラックリスト YES

⑤ _{ブラックリスト}

による検知

ホストのIPアドレスを Bot-GLに登録 NO

⑤

通信データを B DATAに記録 数量化理論

による検知

Bot GLに登録 YES

NO

通信データを

⑥

B-DATAに記録

NO H-DATAに記録

４． 64

４． 第二段トレースバックシステム構成 第二段トレースバックシステム構成

Bot BL に登録されたホスト処理 第三段トレースバックとの連携①

Bot-BL に登録されたホスト処理

NW

管理者

α

NW

管理者

β NW

管理者

α

ボットＰＣ

調査

・ＮＷ管理者

β

はＮＷ管理者

α

に強い警告を行う

・ＮＷ管理者ＮＷ管理者

β β

は自ＮＷ内のは自ＮＷ内の

Bot-BL Bot BL

と通信したホストの調査を行うと通信したホストの調査を行う

４． 65

４． 第二段トレースバックシステム構成 第二段トレースバックシステム構成

Bot Ｇ L に登録されたホスト処理 第三段トレースバックとの連携②

Bot- Ｇ L に登録されたホスト処理

確認 依頼

ドキュメント内 数量化理論とCCCDATAset2009を利用したボットネットのC&Cサーバ特定手法の提案と評価 (ページ 58-65)