2010 Fiscal Year Annual Research Report
パケットモニタリングを用いたDNSトラヒック解析による異常検知に関する研究
| Project/Area Number |
22700078
|
|---|
| Research Institution | Kyushu Institute of Technology |
|---|
Principal Investigator |
中村 豊 九州工業大学, 情報科学センター, 准教授 (40346317)
|
|---|
| Keywords | DNS / 異常検知 / パケットモニタリング / トラヒック解析 |
|---|
| Research Abstract |
ネットワークを安定運用するためには、ネットワーク異常の早期発見が必要となる。これまでにもネットワークの異常検知に関しては様々な研究が行われてきている。本研究ではボット・ワームが利用するDNSを考慮した、DNSトラヒックの解析を行う事で、ネットワークの異常を検出することを目標とする。
1.パケットモニタモジュールの構築(中村)
パケットモニタモジュールでは、DNSトラヒックのパケットを計測するために、Berkeley Packet Filter(BPF)を用いたパケットキャプチャライブラリを用いた。このライブラリを用いることによって、IP層でのパケットが得られる。また、多くのUNIXプラットフォームで動作させることが可能となった。
2.DNSプロトコル解析モジュールの構築(中村)
DNSプロトコル解析モジュールではDNSパケット内のフィールド毎の解析を行った。このモジュールではDNSヘッダの各フィールドからquery、reply等の情報を取得している。プロトコル解析モジュールでは、まずQRフィールドを確認し、DNSパケットがqueryかreplyであるかを確認する。Queryであるなら、Opcodeから問い合わせのタイプを確認する。また、再帰問い合わせかどうかの確認も行う。その後、QNAME,TYPE,CLASSフィールドから、queryの内容を取得する。Replyの場合、RCodeから応答のタイプを確認する。また、AAフィールドから権威付き応答であるかどうかも確認する。その後、NAME,TYPE,CLASS等のフィールドよりreplyの内容を取得している。
3.統計データ報告モジュールの構築(中村)
統計データ報告モジュールでは共有メモリから統計データを取得している。このモジュールにより、パケットモニタ機能と視覚化・解析機能を分離することが可能となった。
|
