ダークネットトラフィックの分析に基づく継続的な広域ネットワークスキャンの調査

中川, 雄太, 韓, 燦洙, 島村, 隼平, 高橋, 健志, 藤田, 彬, 吉岡, 克成, 井上, 大介

インターネット空間を継続的にスキャンする事で，インターネットに接続されている様々な機器の情報を定常的に収集するサービスもしくは組織の存在が知られている（以降，“スキャンシステム”と呼ぶ）．いくつかのスキャンシステムはスキャンホストのWebサービスでスキャンの目的や利用しているIPアドレスなどを公開しているが，その詳細はまだわからない部分が多い．さらに，これらの情報を公開しないまま活動するスキャンシステムが存在すると推測され，その実態の解明が急務である．しかしながら，このような非公開のスキャンシステムの実態を把握するのは容易ではない．そこで我々は，ダークネットで観測される通信について送信元IPアドレス帯ごとに分析を行い，非公開のスキャンシステムを含む複数のIPアドレス帯から，様々なポートに対して継続的な広域ネットワークスキャンが行われていることを明らかにした．さらに，これらホスト群のスキャン対象ポートとその時系列変化を分析することによって，送信元IPアドレス帯によってその傾向が異なることを明らかにした．

It is known that some services or organizations have carried on constant Internet-wide scanning to collect information about various devices connected to the Internet. Some of them publicize their activities and objectives of the scan at web services on the scan hosts. However, their details are undisclosed. In this study, we found that multiple hosts actually perform constant Internet-wide scanning through analyzing the darknet traffic from a statistical point of view. Furthermore, we also revealed their scanning patterns are different for each, based on an analysis of scan target ports and transitions of the port.

ダークネットトラフィックの分析に基づく継続的な広域ネットワークスキャンの調査

Bibliographic Information

Abstract

Journal

Keywords

Details 詳細情報について

Export

Report a problem