DNSトンネリング経由標的型攻撃に対する普遍的特徴量を用いた検知手法に関する研究
| Project/Area Number |
19K24351
|
|---|
| Research Category |
Grant-in-Aid for Research Activity Start-up
|
| Allocation Type | Multi-year Fund |
|---|
| Review Section |
1001:Information science, computer engineering, and related fields
|
|---|
| Research Institution | Osaka Prefecture University |
|---|
Principal Investigator |
近藤 大嗣 大阪府立大学, 工学(系)研究科(研究院), 助教 (10844160)
|
|---|
| Project Period (FY) |
2019-08-30 – 2021-03-31
|
| Project Status |
Granted (Fiscal Year 2019)
|
| Budget Amount *help |
¥2,860,000 (Direct Cost: ¥2,200,000、Indirect Cost: ¥660,000)
Fiscal Year 2020: ¥1,430,000 (Direct Cost: ¥1,100,000、Indirect Cost: ¥330,000)
Fiscal Year 2019: ¥1,430,000 (Direct Cost: ¥1,100,000、Indirect Cost: ¥330,000)
|
|---|
| Keywords | ネットワークセキュリティ / DNSトンネリング / 標的型攻撃 |
|---|
| Outline of Research at the Start |
近年、DNSトンネリングを利用した標的型攻撃による情報漏洩が確認されている。このDNSトンネリング自体の関連研究は複数存在し、有効な検知手法が提案されている。しかしこれらの手法は、特定トンネリングツール等から得られる特徴量を元に構築されているため、攻撃者はこのような特徴量を生み出さないマルウェアを作成して、検知手法をバイパスすることは容易である。そのため、様々な未知のDNSトンネリングトラフィックに対しては対処できないという根本的な問題が存在する。そこで本研究では、特定のDNSトンネリングトラフィックに依存しない汎用性のあるDNSトンネリング検知手法を設計し、情報漏洩を防止することを目指す。
|
| Outline of Annual Research Achievements |
標的型攻撃による情報漏洩問題は極めて深刻な社会問題であり、その中でもDNSトンネリングを利用した情報漏洩が確認されている。このDNSトンネリング自体の関連研究は複数存在し、有効な検知手法が提案されている。しかしこれらの手法は、特定マルウェアや特定トンネリングツールから得られる特徴量を元に構築されているため、攻撃者はこのような特徴量を生み出さないマルウェア(例えば、一般ユーザの行動を模倣するマルウェア)を作成して、検知手法をバイパスすることは容易であると考える。そのため、様々な未知のDNSトンネリングトラフィックに対しては対処できないという根本的な問題が存在する。そこで本研究では、特定のDNSトンネリングトラフィックに依存しない汎用性のあるDNSトンネリング検知手法を設計し、情報漏洩を防止することを目指す。
そのためにまず当該年度では、申請者の研究室から通常ユーザとして集われた複数の被験者の通常DNSトラフィックに加えて、マルウェアのDNSトラフィックの取得が困難であるため、代わりにDNSトンネリングツールを利用して様々なシナリオ環境下(例えば、漏洩ファイルの転送)で発生させたDNSトラフィックを測定した。そして、その測定点において、DNSトンネリングトラフィックが発生したことによりDNSキャッシュサーバ中に現れる普遍的な特徴量である、DNSトラフィックに対するキャッシュ特性に基づく特徴量を時系列解析によって評価を行い、DNSトンネリングトラフィック発生時にてその特徴量に変化があることを検証した。また、DNSトンネリングに関する攻撃手法と防御手法の分類を行い、本研究のポジションを明確化した。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
DNSトラフィック測定実験を終え、DNSトンネリングトラフィックが発生したことによりDNSキャッシュサーバ中に現れる普遍的な特徴量である、DNSトラフィックに対するキャッシュ特性に基づく特徴量の時系列解析を予定通り行うことができた。この解析から、提案特徴量はDNSトンネリングトラフィック発生の検知に有効であることが示され、その結果を国内研究会と国際会議にて発表した。また、DNSトンネリングに関する攻撃手法と防御手法の分類を行った。この分類により、攻撃者が攻撃を防御者に検知されずに成功させるための攻撃手法と、それに対し防御者が提案すべき防御手法を示し、その結果を国内研究会にて発表した。
|
| Strategy for Future Research Activity |
キャッシュ特性に基づく特徴量特徴量を元に、フィルタを設計・作成し、そのフィルタの性能を評価する。しかしながら、この検知手法の制約は、マルウェアがDNSクエリの送信頻度を劇的に低下させた場合のように、キャッシュ特性に変化を与えない状況では検知が困難であると考えられるため、さらに低スループットへ対応するフィルタを設計・作成する。
|
Report
(1 results)
Research Products
(3 results)
