サポートベクターマシンを用いたC&Cサーバへのアクセス挙動特性に基づくHTTP型ボット検知

抄録

インターネットが普及する一方で，コンピュータウイルスによるユーザの被害件数が増大しており，問題となっている．その中でもボットネットによる被害が深刻化している．C&Cサーバとして利用されるものでは，従来IRCが多く使われていた．ところが，2005年頃からWebサーバがボットネットを制御するサーバとして用いられ始め，年々HTTPを利用したボットネットは増大している．そこで，本研究ではHTTPを利用したボットネットに焦点を置く．また，得られたトラフィックデータをセッション毎に分割し，それらのセッションデータから，C&Cセッションを取り出すために，Support Vector Machineを用いた．