A Study on Detection Methods Using Cache-Property-Aware Features Against Targeted Attacks Through DNS Tunneling
| Project/Area Number |
19K24351
|
|---|
| Research Category |
Grant-in-Aid for Research Activity Start-up
|
| Allocation Type | Multi-year Fund |
|---|
| Review Section |
1001:Information science, computer engineering, and related fields
|
|---|
| Research Institution | Osaka Metropolitan University (2022)
Osaka Prefecture University (2019-2021) |
|---|
Principal Investigator |
Kondo Daishi 大阪公立大学, 大学院情報学研究科, 助教 (10844160)
|
|---|
| Project Period (FY) |
2019-08-30 – 2023-03-31
|
| Project Status |
Completed (Fiscal Year 2022)
|
| Budget Amount *help |
¥2,860,000 (Direct Cost: ¥2,200,000、Indirect Cost: ¥660,000)
Fiscal Year 2020: ¥1,430,000 (Direct Cost: ¥1,100,000、Indirect Cost: ¥330,000)
Fiscal Year 2019: ¥1,430,000 (Direct Cost: ¥1,100,000、Indirect Cost: ¥330,000)
|
|---|
| Keywords | ネットワークセキュリティ / DNSトンネリング / 標的型攻撃 |
|---|
| Outline of Research at the Start |
近年、DNSトンネリングを利用した標的型攻撃による情報漏洩が確認されている。このDNSトンネリング自体の関連研究は複数存在し、有効な検知手法が提案されている。しかしこれらの手法は、特定トンネリングツール等から得られる特徴量を元に構築されているため、攻撃者はこのような特徴量を生み出さないマルウェアを作成して、検知手法をバイパスすることは容易である。そのため、様々な未知のDNSトンネリングトラフィックに対しては対処できないという根本的な問題が存在する。そこで本研究では、特定のDNSトンネリングトラフィックに依存しない汎用性のあるDNSトンネリング検知手法を設計し、情報漏洩を防止することを目指す。
|
| Outline of Final Research Achievements |
Many enterprises are under threat of targeted attacks aiming at data exfiltration. To launch such attacks, in recent years, attackers with their malware have exploited DNS tunneling. Although several research efforts have been made to detect DNS tunneling, the existing methods rely on features that advanced tunneling techniques can easily obfuscate by mimicking legitimate DNS clients. Such obfuscation would result in data leakage. To tackle this problem, we focused on a "trace" left by DNS tunneling that cannot be easily hidden. In the context of data exfiltration by DNS tunneling, the malware connects directly to the DNS cache server and the generated DNS tunneling queries produce cache misses with absolute certainty. In this study, we propose a DNS tunneling detection method based on the cache-property-aware features.
|
| Academic Significance and Societal Importance of the Research Achievements |
本研究では標的型攻撃による情報漏洩を防止することを目指し、特定のDNSトンネリングトラフィックに依存しない汎用性のあるDNSトンネリング検知手法を提案した。そのためにDNSトンネリングトラフィックが発生したことによりDNSキャッシュサーバ中に現れる普遍的な特徴量であるキャッシュミスに注目した。研究代表者の調査によると、この特徴量を利用した関連研究は存在しなかった。そのため、新規性という観点から学術的意義があった。また、社会問題である標的型攻撃による情報漏洩問題に取り組んだ点から社会的意義もあった。
|
Report
(5 results)
Research Products
(8 results)
