2018 Fiscal Year Research-status Report
DNS不正情報汚染に対する効率的検知除去・再感染防止・端末除染の統合的設計と構築
| Project/Area Number |
18K11291
|
|---|
| Research Institution | Tokyo Institute of Technology |
|---|
Principal Investigator |
友石 正彦 東京工業大学, 学術国際情報センター, 教授 (60262284)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
金 勇 東京工業大学, 学術国際情報センター, 特任助教 (60725787)
|
|---|
| Project Period (FY) |
2018-04-01 – 2021-03-31
|
| Keywords | ネットワークセキュリティ / 不正アクセス対策 / DNS |
|---|
| Outline of Annual Research Achievements |
本年度は、端末からレゾルバまでの名前解決における履歴、キャッシュに関して詳細に調査を行い、名前解決履歴において、どのような項目に注目、履歴保存すればより効果的に異常、もしくは悪意の前兆を捉えらるかについて検討を行った結果、2つの知見を得たので、それらについて研究成果発表を行った。
1つ目は、DNSSEC検証を複数のリゾルバを用いて高速・安全に行うことについてである。DNSのセキュリティ対策としてDNSSEC(DNS Security Extensions)が提案されている。しかし、DNSリゾルバの負荷やトラフィックの問題で導入が進んでない。また、DNSSECの対策範囲は権威サーバとリゾルバの間であり、リソルバと端末の間は考慮されていない。そこで本研究では、端末でのDNSSEC検証を行う場合に、利用するリゾルバを複数にし、得られる情報を協調する構成とすることで、安全かつ効率的な名前解決システムの構築を目的とする。本年度はその設計までを行い、動作確認実装を行った。
2つ目は、アプリケーション毎に異なるDNSリゾルバを利用させ疑わしい通信を発見することについてである。悪意あるプログラム/アプリケーションが行う名前解決を効率よく発見するには、名前解決の履歴をアプリケーション毎に分離できることが効果的と考えられるが、これまでのOSを中心とする名前解決を利用するシステムはそのような構成にはなっていない。本研究では、これを実現するために、端末内にリゾルバへの通信を中継するとともにどのアプリケーションからの通信であったかを記録する機構の実現を目的とする。本年度は発見機能に加え、さらに利用者が選択的に遮断する機能も含めた実装を行った。
|
| Current Status of Research Progress |
Current Status of Research Progress
3: Progress in research has been slightly delayed.
Reason
実施計画では、初年度、主にフルレゾルバにおける名前解決履歴を取得し、端末毎に名前解決履歴の検索が可能なデータベースの設計・構築を行うこととしていた。
その計画に従い、まず、端末からレゾルバまでの名前解決における履歴、キャッシュに関して詳細に調査を行った。また、レゾルバにおける名前解決履歴において、どのような項目に注目、履歴保存すればより効果的に異常、もしくは悪意の前兆を捉えらるかについて詳細に検討を行った。一般的な名前引きの構成、つまり、クライアントとレゾルバが別ホストにある構成においては困難があるが、クライアントにおいてレゾルバを動かすなどの工夫をすることで、名前解決の履歴にどのアプリケーションがその名前の解決をしようとしたのかという情報を追加すれば、アプリケーション毎の定常・非定常といった情報やアプリケーションそのものがユーザにとって日常利用しているものかどうかなどの情報を得ることができる。また、このときDNSSECの検証を複数のレゾルバに並行等に行うことで、異常検知を行うとともに、名前解決先についての情報が得られるので、上記履歴データにそれらを付け加えることができる。
本年度はこれらの検討に基づいて、クライアントにレゾルバを置く場合の性能や、検討事項の概念をテスト実現する構成において、動作確認等を行った。これらについては、国際会議における発表論文とすることにより、国内外の研究者と議論を行った。
また、DNSの機構をIoT/ホームネットワークの安全で軽量な遠隔観測に使う研究を行っているが、その中で各家庭内にあるデータを安全にクラウドに集約させる実験のテストベッドの構築を行っており、本研究への適用も検討している。
|
| Strategy for Future Research Activity |
次年度以降は、今年度の成果を発展させるため、データベース構築を進めるとともに、当初の計画どおり、組織フルリゾルバにおける名前解決履歴の取得をめざす。そのデータと、端末毎に得られるデータとを比較することで、組織フルレゾルバのデータだけによる異常検知に加え、いくつかのアプリケーションに依存する特徴に関する知見獲得も狙う。代表者らは、キャンパスネットワークの基幹部分の運用に携わっており、今も名前解決履歴の監視や解析を行っているので、名前解決履歴の利用にあたり、学内関連部門との調整を行う。具体的には、1)端末内情報も反映した名前引きに関する情報のデータベースの構築。2)組織フルリゾルバにおけるデータの利用調整。3)その端末毎の名前解決履歴が検索可能なデータベースの設計・構築を目指し、さらに、4)組織フルリゾルバのキャッシュデータについてのデータベース化。悪意データを見つけることができれば、そのデータに基づく検出及び削除する方針、機能の設計・開発と5)再キャッシュを防ぐための機能の設計・開発を実施する。
ここまでの実施が順調であれば、続けて、フルリゾルバにおける悪意データ再キャッシュ防止機能の設計・実装を行う。この段階以降においては、システムの統合プロトタイプの構築を開始し、機能評価と性能評価を行う。さらに、詳細な実験のためのローカルな実験環境を構築も行う。
|
| Causes of Carryover |
一部物品の購入価格、および、旅費が見積り価格より安価であったため、差額が生じた。
研究計画よりも多くの項目に研究を拡張し発表を行ったため、本年度は3件の発表を行うことができたが、内容、および、当初研究計画に照らすと若干遅れており、次年度以降にそれらを含めた複数の成果発表を予定しているため、残額はそれらの旅費として利用する計画である。
|
Research Products
(3 results)
