2022 Fiscal Year Final Research Report
A Study on Detection Methods Using Cache-Property-Aware Features Against Targeted Attacks Through DNS Tunneling
| Project/Area Number |
19K24351
|
|---|
| Research Category |
Grant-in-Aid for Research Activity Start-up
|
| Allocation Type | Multi-year Fund |
|---|
| Review Section |
1001:Information science, computer engineering, and related fields
|
|---|
| Research Institution | Osaka Metropolitan University (2022)
Osaka Prefecture University (2019-2021) |
|---|
Principal Investigator |
Kondo Daishi 大阪公立大学, 大学院情報学研究科, 助教 (10844160)
|
|---|
| Project Period (FY) |
2019-08-30 – 2023-03-31
|
| Keywords | ネットワークセキュリティ / DNSトンネリング / 標的型攻撃 |
|---|
| Outline of Final Research Achievements |
Many enterprises are under threat of targeted attacks aiming at data exfiltration. To launch such attacks, in recent years, attackers with their malware have exploited DNS tunneling. Although several research efforts have been made to detect DNS tunneling, the existing methods rely on features that advanced tunneling techniques can easily obfuscate by mimicking legitimate DNS clients. Such obfuscation would result in data leakage. To tackle this problem, we focused on a "trace" left by DNS tunneling that cannot be easily hidden. In the context of data exfiltration by DNS tunneling, the malware connects directly to the DNS cache server and the generated DNS tunneling queries produce cache misses with absolute certainty. In this study, we propose a DNS tunneling detection method based on the cache-property-aware features.
|
| Free Research Field |
コンピュータサイエンス
|
| Academic Significance and Societal Importance of the Research Achievements |
本研究では標的型攻撃による情報漏洩を防止することを目指し、特定のDNSトンネリングトラフィックに依存しない汎用性のあるDNSトンネリング検知手法を提案した。そのためにDNSトンネリングトラフィックが発生したことによりDNSキャッシュサーバ中に現れる普遍的な特徴量であるキャッシュミスに注目した。研究代表者の調査によると、この特徴量を利用した関連研究は存在しなかった。そのため、新規性という観点から学術的意義があった。また、社会問題である標的型攻撃による情報漏洩問題に取り組んだ点から社会的意義もあった。
|
