Botnet Detection using NetFlow and Clusteringの要約
Introduction
この論文では、ボットネットというマルウェアの検出について、NetFlowプロトコルとクラスタリング手法を用いたアプローチが提案されています。ボットネットは、スパムやDDoS攻撃、個人情報の盗難などに利用されるインターネット上での主要な脅威の一つです。NetFlowプロトコルは、Cisco Systemsが開発したインターネットトラフィックの監視に使用される標準的なプロトコルです。本論文では、このプロトコルを使用してボットネットを検出する手法が提案されています。また、クラスタリング手法を使用することで、異常なトラフィックを特定し、ボットネットの活動を検出することができます。
Related Work
このセクションでは、ボットネットの検出に関する既存の研究について触れ、それらの手法がどのような問題を抱えているかが述べられています。また、本論文で提案しているアプローチがどのようにこれらの問題を解決するかも説明されています。具体的には、既存手法ではトラフィック量やパケット数など単一の指標を使用していたため、正常なトラフィックと異常なトラフィックを区別することが困難であった点が指摘されています。一方で、本論文で提案されるアプローチでは、NetFlowプロトコルを使用して多数の指標を収集し、クラスタリング手法を用いることで異常なトラフィックを特定することが可能であることを示しています。
Proposed Approach
このセクションでは、NetFlowプロトコルを使用して収集されたトラフィックデータを基に、異常なトラフィックを特定するための手法が提案されています。具体的には、以下の手順で異常なトラフィックを検出します。
1. NetFlowプロトコルを使用して多数の指標を収集する。
(例:送信元IPアドレス、宛先IPアドレス、ポート番号など)
2. 収集した指標データをクラスタリング手法(*1)によってグループ化する。
3. 各クラスター内での指標値の分布を解析(*2)し、異常なトラフィックが含まれる可能性があるクラスタ
ーを特定する。
4. 特定された異常なトラフィックに対して適切な処理(例:ブロック)を行う。
この手法により、従来の単一指標ベースの手法よりも高い精度でボットネットの検出が可能となっています。
*1:提案手法では、階層的クラスタリングが使用されています。階層的クラスタリングはデータのクラスタリ
ング方法の一つで、データを階層的にグループ化します。これは主に2つのタイプ、凝集型と分割型がありま
す。
・凝集型階層的クラスタリング : 凝集型(ボトムアップアプローチ)では、最初に各データポイントを個別の
クラスタとして見なします。次に、最も類似したクラスタが結合され、大きなクラスタを形成します。この
プロセスはすべてのデータが1つのクラスタになるまで繰り返されます。結果はデンドログラムと呼ばれるツ
リー構造で視覚化することができます。
・分割型階層的クラスタリング : 分割型(トップダウンアプローチ)では、最初にすべてのデータポイントが1
つのクラスタに含まれています。このクラスタは次に最も類似性が低いデータポイントに基づいて2つのクラ
スタに分割されます。このプロセスはすべてのクラスタが個別のデータポイントになるまで繰り返されます
。
*2:提案手法において、各クラスター内での指標値の抽出は、以下の手順で行われます。
1. 各クラスター内のトラフィックデータから、特徴量を抽出します。これらの特徴量には、通信プロトコ
ル、通信元IPアドレス、通信先IPアドレス、ポート番号などが含まれます。
2. 抽出された特徴量を使用して、各クラスター内での通信パターンを分析します。この分析には、時間帯や
曜日などの要因も考慮されます。
3. 通信パターンから異常なトラフィックを特定するための指標値が抽出されます。これらの指標値には、通
信回数や通信量などが含まれます。
このようにして、提案手法では各クラスター内での指標値の抽出が行われます。
Conclusions
この論文では、NetFlowデータとクラスタリング手法を取り入れた、C&Cボットネットの異常検出の方法論を示しました。この手法は、多段階でボットネットを検出するため、偽陽性を減らすことが期待されています。ボットは通常のトラフィックと区別できる同じ振る舞いをするため、ネットワークフローとイベントの階層的クラスターを作成し、基本的なフィルタリング、ブラックリスト、ホワイトリスト、パターン、ポリシー、相関エンジン、ルールおよび以前の情報に基づいて類似した振る舞いを見つけてボットネットクラスターを検出することができます。