2016 Fiscal Year Annual Research Report
| Project/Area Number |
15H02699
|
|---|
| Research Institution | National Institute of Informatics |
|---|
Principal Investigator |
福田 健介 国立情報学研究所, アーキテクチャ科学研究系, 准教授 (90435503)
|
|---|
| Project Period (FY) |
2015-04-01 – 2018-03-31
|
| Keywords | インターネット / DNS |
|---|
| Outline of Annual Research Achievements |
インターネット上では日々様々なデータトラフィックが流通している.その多くは正しいものであるが,一部のトラフィックは異常なものである.また,インターネット上の影響度合いという意味では,正常,異常トラフィックともに,少数のホストが関与している場合,多くのホストが関与している場合がある.本研究では,後者の多くのホストによる大きなイベントの検出を目指している.その例としては,CDNやメーリングリストに関係する正常なもの,ネットワークスキャンやスパム送信等の異常なものである.
基本的なアプローチとしては,インターネット上の名前解決方式であるDNSを用いて,どのような名前が普段と異なる振る舞いをするかに着目する.本年度はDNSの逆引きクエリ名を用いたDNSバックスキャッターの学習データおよびその精度に関して研究を進めた.その結果,正常を示すホストの生存期間は比較的長いものの,異常を示すホストの生存期間は短く学習に大きく影響することが判明した.この結果は国際論文誌に論文としてまとめ投稿した.
また,マルウェア等が使用するランダムな名前を検出するために,DNSのクエリ名とクエリホストからDNSグラフを構築し,そのグラフ内の確率伝搬に基づいた未知の異常クエリの検出手法を提案・評価した.この手法により,2000以上の未知のドメイン名を堅守することが可能となり,この結果をまとめた論文は国内論文誌に掲載された.
同様に,バックスキャッターの正解データの精度を上げるために,バックボーントラフィックデータよりスキャンおよび協調スキャンを効率良く発見する手法を開発し,国際会議論文としてまとめた.
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
DNSバックスキャッターの有効性の鍵は,どのように学習のためのラベルデータを用意する必要があるかが判明し,その結果を論文投稿した.また,マルウェアの用いるランダムな名前を確率的に検出する手法を提案・評価した.
|
| Strategy for Future Research Activity |
ラベルデータの質をどのように担保するかがバックスキャッターの精度向上に必要不可欠であり,ネットワークスキャン等の検出を他のデータから行い研究を進めていく予定である.
|
Research Products
(6 results)
