DNS不正情報汚染に対する効率的検知除去・再感染防止・端末除染の統合的設計と構築

2019 Fiscal Year Research-status Report

• Project/Area Number: 18K11291
• Research Institution: Tokyo Institute of Technology
• Principal Investigator: 友石 正彦 東京工業大学, 学術国際情報センター, 教授 (60262284)
• Co-Investigator(Kenkyū-buntansha): 金 勇 東京工業大学, 学術国際情報センター, 特任助教 (60725787)
• Project Period (FY): 2018-04-01 – 2021-03-31
• Keywords: ネットワークセキュリティ / 不正アクセス対策 / DNS

Outline of Annual Research Achievements

本年度は、サーバ側で2件、クライアント周辺で1件、計3件の研究成果発表まで行った実績があった。
近年、DNSが攻撃対象となる攻撃や利用される攻撃が少なくない。DNSはインターネットの利用に不可欠な名前解決を提供するため、遮断などの手法では防御しづらい。本年度行った研究ではいくつかの汚染された場面を設定し、その場面における攻撃、もしくは、乗っとられたサーバ、ウィルスを検知する手法を提案した。具体的には、DNSコンテンツサーバからの応答を分類する手法、DNSキャッシュサーバに対する応答挙動に学習を用いるもの, クライアントでのDNS利用の監視による検知について研究、発表を行った。以下に詳細を記す。
1件目として、キャッシュ汚染を含む、悪意情報注入を検知・削除、伝搬端末特定が可能な機構の構築を目的として、キャッシュサーバにおいて名前解決履歴を取得し端末毎の履歴が検索可能なデータベースを構築し、クライアントからのDNSトラフィックに対して正規データや過去データと比較することで異常を検知・削除する手法について検討し、国際会議での発表を行った。
2件目として、一件目での検討・考察内容に加え、DNS権威サーバが乗っ取られた場合を考慮し、履歴データに対して、機械学習を利用して検知する方法を提案し、国際会議での発表を行った。
3件目として、マルウェアに感染された後のDNSトラフィックの特徴に着目し、クライアントレベルでのDNSトラフィックの監視、検知及び遮断する方法を提案し、国際会議での発表を行った。

Current Status of Research Progress

3: Progress in research has been slightly delayed.

Reason

実施計画では、初年度に、主にフルレゾルバにおける名前解決履歴を取得し、端末毎に名前解決履歴の検索が可能なデータベースの設計・構築を行うこととし、二年目には、主に組織フルリゾルバのキャッシュデータにおいて悪意データの検出及び削除する機能の設計・開発と再キャッシュを防ぐための機能の設計・開発を開始することとしていた。
一昨年度、その計画に従い、端末からレゾルバまでの名前解決における履歴、キャッシュに関して詳細に調査を行い、また、レゾルバにおける名前解決履歴において、どのような項目に注目、履歴保存すればより効果的に異常、もしくは悪意の前兆を捉えらるかについて詳細に検討を行い、いくつかの成果を得たが、データベースの設計には至らなかった。本年度は、設計に着手し、そのためのパラメータを決定するための検討において、また、データベースに蓄積した履歴の利用手法に検討を重ねることで、成果を上げたが、実験レベルのデータベースの構築に止まり、全体のシステム構築には至っていない状況である。

Strategy for Future Research Activity

システム構築を継続するとともに、組織フルリゾルバのキャッシュデータにおいて悪意データの検出及び削除する機能の設計・開発と再キャッシュを防ぐための機能の設計・開発を実施する。
さらに、上記の設計と実装が終わった時点から、統合プロトタイプを構築し機能評価と性能評価を行う。ローカル実験環境を構築して機能評価を行い、有効性が確認されたら、大学のフルリゾルバへの適応を検討し、実環境での性能評価を行う。
また、新規の検討項目として、 IPv6 への対応も検討する。

Causes of Carryover

初年度に、一部物品の購入価格、および、旅費が見積り価格より安価であったため、差額が生じ、それを継続して繰り越している。
研究計画から、現況を鑑みて、課題項目を拡張し研究を行っているため、本年度は3件の発表を行うことができたが、内容、および、当初研究計画に照らすと若干遅れている部分がある。次年度以降にそれらを含めた複数の成果発表を予定しているため、残額はそれらの旅費として利用する計画である。

Research Products

• [Presentation] Detection of Hijacked Authoritative DNS Servers by Name Resolution Traffic Classification (2019)
  • Author(s): Y. Jin, M. Tomoishi and S. Matsuura
  • Organizer: 2019 IEEE International Conference on Big Data (Big Data)
• [Presentation] A Detection Method Against DNS Cache Poisoning Attacks Using Machine Learning Techniques: Work in Progress (2019)
  • Author(s): Y. Jin, M. Tomoishi and S. Matsuura
  • Organizer: 2019 IEEE 8th International Symposium on Network Computing and Applications (NCA)
• [Presentation] Anomaly Detection by Monitoring Unintended DNS Traffic on Wireless Network (2019)
  • Author(s): Y. Jin, M. Tomoishi and N. Yamai
  • Organizer: 2019 IEEE Pacific Rim Conference on Communications, Computers and Signal Processing (PACRIM)