An Active Malware Detection System for Secure Campus Networks

2018 Fiscal Year Research-status Report

• Project/Area Number: 18K11296
• Research Institution: Kyushu Institute of Technology
• Principal Investigator: 佐藤 彰洋 九州工業大学, 情報科学センター, 助教 (30609376)
• Project Period (FY): 2018-04-01 – 2021-03-31
• Keywords: ネットワークセキュリティ / DGAマルウェア / 機械学習

Outline of Annual Research Achievements

大学におけるBYODの実現のため，キャンパスネットワークで観測される通信のみからマルウェアを検出することが求められる．しかしながら，ネットワークで観測されるマルウェアの通信は非常に限定的であり，且つマルウェアは自身の通信を隠蔽する仕組みを有する．そこで本研究では，DNSに対する膨大な数の名前解決要求から存在期間が極端に短い悪性ドメインの判別を実現する．本研究の特徴は，DNSの名前解決要求のみから感染の疑わしい端末を特定できる点，その名前解決の応答を書き換えコールバック先を強制的に変更することでマルウェアに関する能動的な情報収集ができる点にある．
本研究は核となる3つの技術，(a)C&Cドメイン検出技術，(b)ドメイン選択技術，(c)マルウェア解析技術から成る．当該年度は「C&Cドメイン検出技術」の確立と，次年度の研究の推進に向けた調査に着手した．
C&Cドメイン検出技術は，人為的に生成したドメインと機械的に生成したドメインには，その文字列に明白な違いが現れることに着目し，ドメイン文字列から得られる情報のみから良性・悪性の判別を実現する．その技術の有用性を確認するため，九州工業大学のキャンパスネットワークにおいて実証実験を行った．その結果，98%以上と非常に高い精度で感染端末を検出できることが明らかになった．これは従来手法と比較しても突出した値である．しかしながら，計算時間の点で従来手法に劣っており，次年度に着手する「ドメイン選択技術」により，その大幅な改善を試みる．

Current Status of Research Progress

2: Research has progressed on the whole more than it was originally planned.

Reason

当該年度は「C&Cドメイン検出技術」の確立と，次年度の研究の推進に向けた調査に着手した．C&Cは存在期間が極端に短い悪性ドメインであるため，ドメインに関する付加的な情報に依存したブラックリストやレピュテーションによる検出は困難である．そこで，良性・悪性の判別にドメイン文字列から得られる情報のみを利用した．その理由は，人為的に生成したドメインと機械的に生成したドメインには，その文字列に明白な違いが現れるためである．
具体的なアプローチとして，辞書に基づいてドメイン文字列を意味のある単語群に分割すること，その単語群の占める割合からドメイン文字列のランダム性を評価した．分割に用いた辞書は，日本語，英語，独語，西語，露語など，複数言語を考慮した．特筆すべきは，DGAに関する事前知識を全く必要とせず，ドメイン文字列のみで良性・悪性を判別できる点である．
研究成果を取り纏めたものは，論文誌の採録が既に決定している．また，研究会発表では優秀論文賞に加え，マクニカネットワークス賞を授与されるなど，研究者のみならず，セキュリティ対策ソリューションを扱う企業からも賞を授与されるなど有用性を認められている．
次年度に予定している「ドメイン選択技術」の実現に向けた調査には既に着手済みである．このように，本研究は，進捗・業績ともに概ね計画通りである．

Strategy for Future Research Activity

ネットワークにおけるDNSの名前解決要求は膨大であるため，ドメインの文字列解析によるC&Cドメイン検出技術では多くの計算時間を要する．それを補助するため，次年度は良性・悪性を判別すべきドメインを選定する「ドメイン選択技術」を確立する．DGAではコールバック通信先のドメインの変更に伴い，DNSの名前解決において幾つかのNXDOMAIN応答が発生することが知られている．ここで，NXDOMAIN応答はドメインが存在せず名前解決に失敗したことを意味する．この知見に基づき，NXDOMAIN応答を返した名前解決のみに着目することで，良性・悪性を判別するドメインの数を大きく絞り込む．
これまでの調査で，NXDOMAIN応答はそれ自身で原因が特定できるもの，それ以前の名前解決を参照することで原因が特定できるもの，原因の特定が困難なものに分類できることが明らかになった．具体的なアプローチは，類似性に基づいて原因が明確なNXDOMAIN応答を除外する仕組みを検討する．次いで，原因の不明なNXDOMAIN応答に対して，ドメインの良性・悪性を判定する．この結果を保持することで，これ以降に発生する同様のNXDOMAIN応答を除外することが可能となる．
「マルウェア解析技術」が実現する感染が疑わしい端末についての能動的な情報収集は，他に類を見ない先進的な試みである．十分な研究期間を確保するため，その研究開発には，次年度後期から着手することを予定している．

Research Products

• [Journal Article] Clustering Malicious DNS Queries for Blacklist-based Detection (2019)
  • Author(s): Akihiro Satoh, Yutaka Nakamura, Daiki Nobayashi, Kazuto Sasai, Gen Kitagata, Takeshi Ikenaga
  • Journal Title: IEICE Transactions on Information and Systems Volume: E102.D Pages: 1404-1407
  • DOI: https://doi.org/10.1587/transinf.2018EDL8211
  • Peer Reviewed / Open Access
• [Journal Article] Estimating the Randomness of Domain Names for DGA Bot Callbacks (2018)
  • Author(s): Akihiro Satoh, Yutaka Nakamura, Daiki Nobayashi, Takeshi Ikenaga
  • Journal Title: IEEE Communications Letters Volume: 22 Pages: 1378---1381
  • Peer Reviewed
• [Presentation] A Malicious DNS Query Clustering Approach for Blacklist-based Detection (2019)
  • Author(s): Akihiro Satoh, Yutaka Nakamura, Kazuto Sasai, Gen Kitagata
  • Organizer: RIEC Annual Meeting on Cooperative Research Projects
  • Int'l Joint Research
• [Presentation] 原因に基づく悪性DNSクエリの分類 (2019)
  • Author(s): 佐藤彰洋, 中村豊, 笹井一人, 北形元
  • Organizer: 第25回先進的情報通信工学研究会
• [Presentation] ブラックリストに基づく検出の効率化に向けた悪性DNSクエリ分類手法 (2018)
  • Author(s): 佐藤彰洋, 中村豊, 小倉光貴, 野林大起, 池永全志
  • Organizer: インターネットと運用技術シンポジウム
• [Presentation] ブラックリストにより検出された悪性DNSクエリの分類 (2018)
  • Author(s): 佐藤彰洋, 中村豊, 小倉光貴, 野林大起, 池永全志
  • Organizer: インターネットアーキテクチャ研究会