本稿では、IRCのトラフィックとボットのトラフィックをレスポンス・タイムに着目して比較してみる。ここでのレスポンスタイムとは、IRCクライアントあるいはボットがメッセージを受信してから応答を返すまでの時間のことである。
図2は、あるネットワーク上で捕捉した、正常な(ボットによるものではない)IRCのトラフィックをグラフ化したものである。Y軸がレスポンス・タイム、X軸が送信データのサイズを表す。図3は実験環境で捕捉したボットのトラフィックである。
 図2 正常なIRCのトラフィック [画像のクリックで拡大表示] |
 図3 ボットによるIRCのトラフィック [画像のクリックで拡大表示] |
別々に見ると分かりにくいが、ふたつのデータをまとめてみると、ボットのレスポンスが早いことがよくわかる(図4)。レスポンス・タイムの平均は、IRCがおよそ27秒であるのに対し(送信データ・サイズの平均は約155バイト)、ボットは1秒以下である(ボットの送信データ・サイズの平均約125バイト)。
 図4 レスポンス・タイムの比較 [画像のクリックで拡大表示] |
<以下、「レスポンス・タイムによるボット検知手法(その3)」に続く>
