DNS不正情報汚染に対する効率的検知除去・再感染防止・端末除染の統合的設計と構築

• Project/Area Number: 18K11291
• Research Category: Grant-in-Aid for Scientific Research (C)
• Allocation Type: Multi-year Fund
• Section: 一般
• Review Section: Basic Section 60070:Information security-related
• Research Institution: Tokyo Institute of Technology
• Principal Investigator: 友石 正彦 東京工業大学, 学術国際情報センター, 教授 (60262284)
• Co-Investigator(Kenkyū-buntansha): 金 勇 東京工業大学, 学術国際情報センター, マネジメント准教授 (60725787)
• Project Period (FY): 2018-04-01 – 2024-03-31
• Project Status: Granted (Fiscal Year 2022)
• Budget Amount: ¥4,290,000 (Direct Cost: ¥3,300,000、Indirect Cost: ¥990,000); Fiscal Year 2020: ¥1,040,000 (Direct Cost: ¥800,000、Indirect Cost: ¥240,000); Fiscal Year 2019: ¥1,170,000 (Direct Cost: ¥900,000、Indirect Cost: ¥270,000); Fiscal Year 2018: ¥2,080,000 (Direct Cost: ¥1,600,000、Indirect Cost: ¥480,000)
• Keywords: ネットワークセキュリティ / 不正アクセス対策 / DNS / キャッシュポイズニング

Outline of Annual Research Achievements

本年度は、1件のDNSを利用したセキュリティ研究について成果発表を行った。
本事業全体の背景として、DNSの実際の利用あたっては、組織単位でのキャッシュサーバの利用が一般的であるが、悪意情報を注入する「キャッシュポイズニング」攻撃が問題となっており、完全な解決には至ってない。代表的な対策としてDNSSECがあるが、端末汚染、乗っ取られた正規サーバからの攻撃への対策にはならない。そこで、それらも含めた、悪意情報注入を検知・削除、汚染元の端末特定が可能な機構の構築を目的とした研究を継続している。具体的には、キャッシュサーバにおいて名前解決履歴を取得し端末毎の履歴が検索可能なデータベースを構築、クライアントからのDNSトラフィックに対して正規データや過去データと統計的に比較することで異常を検知・削除する仕組みの構築を目指している。
本年度も、ローカルネットワークに実験環境を構築し、提案手法の一部を為すシステムを構築、その機能評価を行い国際会議にて発表を行った。具体的には、DNSレゾルバにおける名前引きの利用とそのキャッシュについて、推定した利用者端末毎に分類する手法について提案を行った。
また、以前 DNSのRPZ機能を利用して実現したセキュリティ手法について、研究を進め、無条件にRPZにより迂回サーバ経由としていた通信について、利用者の判断によるホワイトリスト機能を逐次で作成し、安全性と利用性能、簡便性を両立実現する手法についても研究し、発表を行った。

Current Status of Research Progress

4: Progress in research has been delayed.

Reason

実験の十分な実施にいたっていないため。
実施計画フルレゾルバにおける名前解決履歴を取得し、端末毎に名前解決履歴の検索が可能なデータベースの設計・構築を行うこととし、次に、組織フルリゾルバのキャッシュデータにおいて悪意データの検出及び削除する機能の設計・開発と再キャッシュを防ぐための機能の設計・開発を開始することとしていた。
実施計画に従い、端末からレゾルバまでの名前解決における履歴、キャッシュに関して詳細に調査を行い、また、レゾルバにおける名前解決履歴において、どのような項目に注目、履歴保存すればより効果的に異常、もしくは悪意の前兆を捉えらるかについて検討を行ってきている。本年度の研究成果もその一貫であり、特にある種の端末とレゾルバにおけるキャッシュの関係を機能として関連付けしている。

しかし実施全体としては、いくつかの実験により、上記研究によるパラメータなどについては特定し、確認実験も行ったが、まだ目的に際して十分なパラメータの特定にはいたったか十分に検討できていない。そのため、さらにプロトタイプとなるデータベースの再構成を行い、実データによる実験を実施し、そのフィードバックによる考察を実施したいと考えている。

Strategy for Future Research Activity

実験実施システムを再構築した後、統合システムを構築し機能評価と性能評価を行う。実環境（大学へ）のフルリゾルバへの適応を行い、実環境での性能評価を行う。
具体的には、実際の環境へのシステムをデプロイし、大規模フルリゾルバのキャッシュデータにおいて悪意データの検出及び削除する機能の設計・開発と再キャッシュを防ぐための機能の設計・開発を継続、特にパラメータ、ポリシについて検討を継続する。

Research Products

• [Presentation] Forged Cache Isolation on DNS Full-Service Resolvers and Identification of Infected End Clients (2022)
  • Author(s): Yong Jin, Masahiko Tomoishi, Satoshi Matsuura
  • Organizer: 2022 the 12th International Workshop on Computer Science and Engineering
  • Int'l Joint Research
• [Presentation] Trigger-based Blocking Mechanism for Access to Email-derived Phishing URLs with User Alert (2022)
  • Author(s): Y. Jin, M. Tomoishi and N. Yamai
  • Organizer: 2023 International Conference on Electronics, Information, and Communication
  • Int'l Joint Research
• [Presentation] Anomaly Detection on User Terminals Based on Outbound Traffic Filtering by DNS Query Monitoring and Application Program Identification (2021)
  • Author(s): Y. Jin, M. Tomoishi, and N. Yamai
  • Organizer: 2021 The 6th International Conference on Information and Network Technologies (ICINT2021)
  • Int'l Joint Research
• [Presentation] Secure Remote Monitoring and Cipher Data Sharing for IoT Healthcare System with Privacy Preservation (2021)
  • Author(s): Y. Jin, M. Tomoishi, and N. Yamai
  • Organizer: 2021 The 5th International Conference on Cloud and Big Data Computing (ICCBDC)
  • Int'l Joint Research
• [Presentation] Acceleration of a Client Based DNSSEC Validation System in Parallel with Two Full-Service Resolvers (2021)
  • Author(s): Y. Jin, K. Iguchi, N. Yamai and M. Tomoishi
  • Organizer: 2022 The 24th International Conference on Advanced Communication Technology (ICACT)
  • Int'l Joint Research
• [Presentation] Forged Cache Isolation on DNS Full-Service Resolvers and Identification of Infected End Clients (2021)
  • Author(s): Y. Jin, M. Tomoishi, and S. Matsuura
  • Organizer: 2022 The 14th International Conference Future Computer and Communication (ICFCC)
  • Int'l Joint Research
• [Presentation] 家庭向けの遠隔ヘルスケアにおけるDNSを活用した監視システムの試作 (2021)
  • Author(s): 陸子健, 金勇, 山井成良, 友石正彦
  • Organizer: 情報処理学会インターネットと運用技術研究会
• [Presentation] A Detour Strategy for Visiting Phishing URLs Based on Dynamic DNS Response Policy Zone (2020)
  • Author(s): Y. Jin, M. Tomoishi and N. Yamai
  • Organizer: 2020 International Symposium on Networks, Computers and Communications (ISNCC)
  • Int'l Joint Research
• [Presentation] Detection of Hijacked Authoritative DNS Servers by Name Resolution Traffic Classification (2019)
  • Author(s): Y. Jin, M. Tomoishi and S. Matsuura
  • Organizer: 2019 IEEE International Conference on Big Data (Big Data)
• [Presentation] A Detection Method Against DNS Cache Poisoning Attacks Using Machine Learning Techniques: Work in Progress (2019)
  • Author(s): Y. Jin, M. Tomoishi and S. Matsuura
  • Organizer: 2019 IEEE 8th International Symposium on Network Computing and Applications (NCA)
• [Presentation] Anomaly Detection by Monitoring Unintended DNS Traffic on Wireless Network (2019)
  • Author(s): Y. Jin, M. Tomoishi and N. Yamai
  • Organizer: 2019 IEEE Pacific Rim Conference on Communications, Computers and Signal Processing (PACRIM)
• [Presentation] A Lightweight and Secure IoT Remote Monitoring Mechanism Using DNS with Privacy Preservation (2019)
  • Author(s): Y. Jin, M. Tomoishi, K. Fujikawa and V. P. Kafle
  • Organizer: 16th IEEE Annual Consumer Communications & Networking Conference (CCNC)
  • Int'l Joint Research
• [Presentation] A Client Based DNSSEC Validation Mechanism with Recursive DNS Server Separation (2018)
  • Author(s): Y. Jin, M. Tomoishi and N. Yamai
  • Organizer: International Conference on Information and Communication Technology Convergence (ICTC)
  • Int'l Joint Research
• [Presentation] A Client Based Anomaly Traffic Detection and Blocking Mechanism by Monitoring DNS Name Resolution with User Alerting Feature (2018)
  • Author(s): Y. Jin, K. Kakoi, N. Yamai, N. Kitagawa and M. Tomoishi
  • Organizer: International Conference on Cyberworlds (CW)
  • Int'l Joint Research