多種間のIoTボットネット拡散モデルの解析

全文

(1)情報処理学会第 80 回全国大会. 2W-01. 多種間の IoT ボットネット拡散モデルの解析佐藤隼人 † †. 1. 宮田純子 †. 芝浦工業大学. はじめに. 提案モデル. 3. 今日，様々な IoT(Internet of things) 機器が普及して. 本章では，提案モデルについて述べる．3.1 章で提案. いる．しかし，IoT 機器はセキュリティが考慮されて. モデルの説明を行い，3.2 章で感染症流行の閾値となる. いないことが多く，攻撃者にとって大規模な Botnet を. 基本再生産数について述べる．. 作成するために簡単なターゲットとなり得る．. 2016 年 9 月から複数の Web サイトやサービスが歴史上類を見ないほどの大規模な DDos 攻撃を受けた. [1][2][3]．これらは多数の IoT 機器から構成された Mirai と呼ばれる新種の Botnet によるものだった [4]．したがって，IoT Botnet の研究が必要とされている. 3.1. 提案モデル. 本提案方式は IoT 機器とサーバを考慮したモデルである．図 1 に提案モデルを示す．β は感染率，ϵ は感染後に感染性を得る確率，γ は感染症からの回復率を表す．. ことがわかる．その際，SIR モデルをベースとして解析をしている研究が存在している [5][6]．しかし，IoT. Botnet はサーバも攻撃対象としているのにも関わらず， Gardner ら [5] は IoT 機器とは性能の異なるサーバに対するを考慮していなかった．また，宮田ら [6] は複数の機器を考慮したモデルであったが，潜伏期間を考慮していなかった．そこで，本提案モデルでは，宮田ら [6] が考慮していなかった潜伏期間を考慮しつつ，Gardner ら [5] が考図 1: 提案モデル.. 慮していなかった多元モデルを加えることで新たなモデルを提案した．また，基本再生産数の導出も行うことで提案モデルの有効性を示していく．. 2. 下記に，図 1 より立式した微分方程式を示す．. SEIR モデル SIR モデルとは，3 つの潜在的な状態を考えること. で，感染症の流行過程を記述可能とするモデルを意味する．SEIR モデルは，SIR モデルに感染症が潜伏期間中であり感染性はない者を表す E(Exposed) を追加したものである．ここで，S(Susceptible) は感染症に対して免疫を持たない者を表し，I(Infected) は感染性を持った状態の感染者を表し，R(Recoverd) は感染症から回復し，免疫をもった状態の者を表す．本提案モデルでは，. SEIR モデルを利用し，既存研究の改良を目指す． An analysis of IoT botnet propagation model for multi situation Hayato SATO† , Sumiko MIYATA† † Department of Electrical and Electronic Information Engineering, Shibaura Institute of Technology 3-7-5 Toyosu, Kotoku, Tokyo, 135-8548, Japan {ma17055}{sumiko}@shibaura-it.ac.jp. 3-477. dS 1 (t) dt dE1 (t) dt dI1 (t) dt dR1 (t) dt dS 2 (t) dt dE2 (t) dt dI2 (t) dt dR2 (t) dt. =. −(β11 I1 (t) + β21 I2 (t))S 1 (t). =. (β11 I1 (t) + β21 I2 (t))S 1 (t). (1). −ε1 E1 (t). (2). =. ε1 E1 (t) − γ1 I1 (t). (3). =. γ1 I1 (t). (4). =. −(β12 I1 (t) + β22 I2 (t))S 2 (t). (5). =. (β12 I1 (t) + β22 I2 (t))S 2 (t) −ε2 E2 (t). (6). =. ε2 E2 (t) − γ2 I2 (t). (7). =. γ2 I2 (t). (8). Copyright 2018 Information Processing Society of Japan. All Rights Reserved..

(2) 情報処理学会第 80 回全国大会. (1) は S から E の遷移を表す．S は β の確率で E に遷移し，S 減少する流れとなるので符号はマイナスとなる．. (2) は E から I の遷移を表す．E は ε の確率で I に遷移し，E は減少する流れとなるので，S から遷移された式から差をとる．. (3) は I から R の遷移を表す．I は γ の確率で R に遷移し，I は減少する流れとなるので，E から遷移された式から差をとる．図 3: 基本再生産数が 1 以上の結果.. (4) は R の状態を表す．提案モデルでは R からの遷移が存在しないので，I から遷移された式のみとなる．. (5)∼(8) は上記の説明と同じ流れのため割愛する． 3.2. 図 2 より，基本再生産数が 1 以下の場合は感染流行が起こらないことが確認できる．そして，図 3 より，基. 基本再生産数. 基本再生産数 (Basic Reproduction Number) とは，1 人の感染者がその感染性期間に 2 次感染者を生み出す. 本再生産数が 1 以上の場合は大規模な感染流行が起こる事が確認できる．. 期待数である．基本再生産数は通常 R0 で表す．以下に. 5. 結果を示す．. まとめ近年，様々な IoT 機器が普及しているが，セキュリ. ティ意識はそれらの普及率に追いついていない．そのため IoT を狙ったマルウェアが存在している．今回はその中で IoT Botnet に着目をし解析を行った．本提案モ. R0 < 1 は時間と共に感染が収束することを意味し， R0 = 1 で定常的に感染が続き，R0 > 1 で感染が流行す. デルでは，既存研究の改良を行い，拡散状況を解析する際に重要な指標となる基本再生産数の導出も行った．. ることを意味する．. その結果，本提案モデルを適用した際の拡散状況が確認できた．しかし，今回使用したパラメータは既存. 4. 結果. 研究を参考に設定したものであるので，今後は実際に. 本章では，3.1 章で述べた提案モデルの結果を述べる．それぞれの状態の初期値を S 1 = S 2 = 0.997，E1 =. 閉じたネットワークで実験を行い現実世界に即したパラメータを適用する予定である．. E2 = 0.002，I1 = I2 = 0.001，R1 = R2 = 0 とし，それぞれの遷移状態へのパラメータを β11 = β21 = 0.1，. 参考文献. β12 = β22 = 0.3，ϵ = 0.1 とする．. [1] B. Krebs., Krebsonsecurity hit with record DDoS, https://krebsonsecurity.com/2016/09/krebsonsecurity-hitwith-. この際，γ = 6.5 としたとき R0 = 0.1 となり，γ =. record-ddos/.. 0.009 としたとき R0 = 9.75 となる．それぞれの結果を図. 2，図. 3 に示す．. [2] O. Klaba., Octave klaba Twitter, https://twitter.com/olesovhcom/status/778830571677978624. [3] S. Hilton., Dyn analysis summary of Friday October 21 attack, http://hub.dyn.com/dyn-blog/dyn-analysis-summary-oﬀridayoctober-21-attack. [4] M. Antonakakis et al., “Understanding the Mirai Botnet,” USENIX Security Symposium, 2017. [5] M.T.Gardner et al., “Using SEIRS Epidemic Models for IoT Botnets Attacks,” DRCN 2017.. 図 2: 基本再生産数が 1 以下の結果.. [6] 宮田純子他.,“ 多種デバイス間の多種ウイルス拡散モデルにおけるエンデミック閾値と定常状態の解析, ”CSS 2013.. 3-478. Copyright 2018 Information Processing Society of Japan. All Rights Reserved..

(3)