• Search Research Projects
  • Search Researchers
  • How to Use
  1. Back to previous page

A Study on Detection Methods Using Cache-Property-Aware Features Against Targeted Attacks Through DNS Tunneling

Research Project

Project/Area Number 19K24351
Research Category

Grant-in-Aid for Research Activity Start-up

Allocation TypeMulti-year Fund
Review Section 1001:Information science, computer engineering, and related fields
Research InstitutionOsaka Metropolitan University (2022)
Osaka Prefecture University (2019-2021)

Principal Investigator

Kondo Daishi  大阪公立大学, 大学院情報学研究科, 助教 (10844160)

Project Period (FY) 2019-08-30 – 2023-03-31
Project Status Completed (Fiscal Year 2022)
Budget Amount *help
¥2,860,000 (Direct Cost: ¥2,200,000、Indirect Cost: ¥660,000)
Fiscal Year 2020: ¥1,430,000 (Direct Cost: ¥1,100,000、Indirect Cost: ¥330,000)
Fiscal Year 2019: ¥1,430,000 (Direct Cost: ¥1,100,000、Indirect Cost: ¥330,000)
Keywordsネットワークセキュリティ / DNSトンネリング / 標的型攻撃
Outline of Research at the Start

近年、DNSトンネリングを利用した標的型攻撃による情報漏洩が確認されている。このDNSトンネリング自体の関連研究は複数存在し、有効な検知手法が提案されている。しかしこれらの手法は、特定トンネリングツール等から得られる特徴量を元に構築されているため、攻撃者はこのような特徴量を生み出さないマルウェアを作成して、検知手法をバイパスすることは容易である。そのため、様々な未知のDNSトンネリングトラフィックに対しては対処できないという根本的な問題が存在する。そこで本研究では、特定のDNSトンネリングトラフィックに依存しない汎用性のあるDNSトンネリング検知手法を設計し、情報漏洩を防止することを目指す。

Outline of Final Research Achievements

Many enterprises are under threat of targeted attacks aiming at data exfiltration. To launch such attacks, in recent years, attackers with their malware have exploited DNS tunneling. Although several research efforts have been made to detect DNS tunneling, the existing methods rely on features that advanced tunneling techniques can easily obfuscate by mimicking legitimate DNS clients. Such obfuscation would result in data leakage. To tackle this problem, we focused on a "trace" left by DNS tunneling that cannot be easily hidden. In the context of data exfiltration by DNS tunneling, the malware connects directly to the DNS cache server and the generated DNS tunneling queries produce cache misses with absolute certainty. In this study, we propose a DNS tunneling detection method based on the cache-property-aware features.

Academic Significance and Societal Importance of the Research Achievements

本研究では標的型攻撃による情報漏洩を防止することを目指し、特定のDNSトンネリングトラフィックに依存しない汎用性のあるDNSトンネリング検知手法を提案した。そのためにDNSトンネリングトラフィックが発生したことによりDNSキャッシュサーバ中に現れる普遍的な特徴量であるキャッシュミスに注目した。研究代表者の調査によると、この特徴量を利用した関連研究は存在しなかった。そのため、新規性という観点から学術的意義があった。また、社会問題である標的型攻撃による情報漏洩問題に取り組んだ点から社会的意義もあった。

Report

(5 results)
  • 2022 Annual Research Report   Final Research Report ( PDF )
  • 2021 Research-status Report
  • 2020 Research-status Report
  • 2019 Research-status Report
  • Research Products

    (8 results)

All 2022 2021 2020 2019 Other

All Int'l Joint Research (1 results) Journal Article (2 results) (of which Int'l Joint Research: 1 results,  Peer Reviewed: 2 results,  Open Access: 1 results) Presentation (4 results) (of which Int'l Joint Research: 1 results) Remarks (1 results)

  • [Int'l Joint Research] CYENS Centre of Excellence(キプロス)

    • Related Report
      2021 Research-status Report
  • [Journal Article] Privacy Concerns From Single-Word Search Query Leakage From Web Browsers Through DNS2022

    • Author(s)
      Isobe Katsuki、Kondo Daishi、Tode Hideki
    • Journal Title

      IEEE Networking Letters

      Volume: 4 Issue: 1 Pages: 48-52

    • DOI

      10.1109/lnet.2021.3117600

    • Related Report
      2021 Research-status Report
    • Peer Reviewed
  • [Journal Article] DNS Tunneling Detection by Cache-Property-Aware Features2021

    • Author(s)
      Ishikura Naotake、Kondo Daishi、Vassiliades Vassilis、Iordanov Iordan、Tode Hideki
    • Journal Title

      IEEE Transactions on Network and Service Management

      Volume: 18 Issue: 2 Pages: 1203-1217

    • DOI

      10.1109/tnsm.2021.3078428

    • Related Report
      2021 Research-status Report
    • Peer Reviewed / Open Access / Int'l Joint Research
  • [Presentation] Webブラウザから1語の検索クエリがDomain Name Systemに漏れる問題の実態調査と利用者の興味関心漏れによるプライバシー侵害の評価2021

    • Author(s)
      磯部克貴, 近藤大嗣, 戸出英樹
    • Organizer
      電子情報通信学会ネットワークシステム研究会
    • Related Report
      2021 Research-status Report
  • [Presentation] Cache-Property-Aware Features for DNS Tunneling Detection2020

    • Author(s)
      N. Ishikura, D. Kondo, I. Iordanov, V. Vassiliades, and H. Tode
    • Organizer
      ICIN
    • Related Report
      2019 Research-status Report
    • Int'l Joint Research
  • [Presentation] DNSトンネリングに関する攻撃手法と防御手法の分類2020

    • Author(s)
      石倉直武, 近藤大嗣, 戸出英樹
    • Organizer
      電子情報通信学会ネットワークシステム研究会
    • Related Report
      2019 Research-status Report
  • [Presentation] DNSトンネリング検知のためのキャッシュ特性に基づく特徴量2019

    • Author(s)
      石倉直武, 近藤大嗣, 戸出英樹
    • Organizer
      電子情報通信学会ネットワークシステム研究会
    • Related Report
      2019 Research-status Report
  • [Remarks] キャッシュ特性に基づく特徴量を利用したDNSトンネリング検知手法

    • URL

      https://ieeexplore.ieee.org/abstract/document/9426926

    • Related Report
      2021 Research-status Report

URL: 

Published: 2019-09-03   Modified: 2024-01-30  

Information User Guide FAQ News Terms of Use Attribution of KAKENHI

Powered by NII kakenhi