2021 Fiscal Year Research-status Report
DNSトンネリング経由標的型攻撃に対する普遍的特徴量を用いた検知手法に関する研究
| Project/Area Number |
19K24351
|
|---|
| Research Institution | Osaka Prefecture University |
|---|
Principal Investigator |
近藤 大嗣 大阪府立大学, 工学(系)研究科(研究院), 助教 (10844160)
|
|---|
| Project Period (FY) |
2019-08-30 – 2023-03-31
|
| Keywords | ネットワークセキュリティ / DNSトンネリング / 標的型攻撃 |
|---|
| Outline of Annual Research Achievements |
標的型攻撃による情報漏洩問題は極めて深刻な社会問題であり、その中でもDNSトンネリングを利用した情報漏洩が確認されている。このDNSトンネリング自体の関連研究は複数存在し、有効な検知手法が提案されている。しかしこれらの手法は、特定マルウェアや特定トンネリングツールから得られる特徴量を元に構築されているため、攻撃者はこのような特徴量を生み出さないマルウェア(例えば、一般ユーザの行動を模倣するマルウェア)を作成して、検知手法をバイパスすることは容易であると考える。そのため、様々な未知のDNSトンネリングトラフィックに対しては対処できないという根本的な問題が存在する。そこで本研究では、特定のDNSトンネリングトラフィックに依存しない汎用性のあるDNSトンネリング検知手法を設計し、情報漏洩を防止することを目指す。
当該年度では、昨年度提案した検知手法の問題である、マルウェアがDNSクエリの送信頻度を劇的に低下させ、キャッシュ特性に変化を与えない状況では検知が困難であるという点に取り組んだ。具体的には、複数種類のフィルタを組み合わせたものを長期間測定したトラフィックに適応させて、情報漏洩が発生したかどうかを検知する。実験の結果、ある特定ドメインを悪用して情報漏洩を行う攻撃事例に対しては、検知が可能であることがわかった。しかしながら、複数ドメインを悪用する事例に対しては、調査不足である。また、このような事例による情報漏洩の検知は、より困難になると想定されるため、さらなる調査が必要になると考えている。本研究を遂行する過程で、Webブラウザから1語の検索クエリがDNSに漏れる問題を発見し、データセット解析の結果、個人の嗜好が漏洩する可能性があることがわかった。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
当該年度では、昨年度にルールベースとLSTMベースの2種類のフィルタを設計・作成して評価した結果が国際ジャーナルに採択された。また、低スループットで情報を漏洩する高度な攻撃に対抗して、複数種類のフィルタを設計・作 成し、評価を行ったが、攻撃者の視点から、フィルタ検知を回避することができる可能性があるため、引き続き調査が必要である。本研究を遂行する過程で、Webブラウザから1語の検索クエリがDNSに漏れる問題を発見し、その問題の実態調査と利用者の興味関心漏れによるプライバシー侵害の評価を行った。 この結果を、国内研究会で発表し、また国際レターに採択された。
|
| Strategy for Future Research Activity |
低スループットで情報を漏洩する高度なDNSトンネリング攻撃に対抗するフィルタの完成度を上げる。
|
| Causes of Carryover |
新型コロナウイルスの影響で旅費の利用がなかった。そこで、令和4年度は、研究調査に旅費を利用する予定である。
|
