2016 Fiscal Year Annual Research Report
The design and Implementation of the detection and defense system against packet amplifier attacks using open resolver DNS servers.
| Project/Area Number |
26330101
|
|---|
| Research Institution | The University of Tokyo |
|---|
Principal Investigator |
関谷 勇司 東京大学, 情報基盤センター, 准教授 (30361687)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
石原 知洋 東京大学, 大学院総合文化研究科, 助教 (60588242)
|
|---|
| Project Period (FY) |
2014-04-01 – 2017-03-31
|
| Keywords | セキュリティ / DNS / 機械学習 / 深層学習 / トラフィック解析 / DDoS / Botnet |
|---|
| Outline of Annual Research Achievements |
本年度は、(1) 収集したデータを解析して予知に結びつけるための手法を提案し、その提案手法を実現するための解析システムを実装した。さらに、(2) ネットワークインフラ機器から取得できるデータのみならず、Web ページや SNS から取得したデータを用いて攻撃の予知可能性に関する検討と実験を行った。
(1)に関しては、DNS サーバ自身から取得できるデータを継続的に蓄積し、即時に分析できる解析基盤を構築した。この解析基盤を、DNS から取得できるデータのみならずネットワークインフラ機器から取得できる多種類のデータを統合して解析できるよう改良した。これにより、DNS の名前問い合わせ関連する実際の通信を同時に分析することが可能になり、DNS パケット増幅攻撃の予兆のみならず、各種のサービス妨害攻撃に用いられるボットネットを統制する C&C サーバとの通信を解析することが可能となった。すなわち、DNS 以外のプロトコルを利用したパケット増幅攻撃も検知することが可能となり、大学における実証実験では実際にいくつかの DNS パケット増幅攻撃を検知することに成功した。
(2)では、現在の様々なサービス妨害攻撃や侵入を試みる攻撃が、愉快犯によって突発的に行われるものではなく、組織的かつ計画的に行われるものに変わりつつあることをふまえ、攻撃者の攻撃動機をあらかじめとらえ、攻撃の予知につなげられる分析システムを構築した。過去の攻撃データと過去の Web、SNS データを用い、このシステムの検証を行った。
本年度の成果として、複数種類のデータを統合的に収集・分析できるシステムを構築することで、現在行われている攻撃をより的確に把握し分析できる手法とシステムを実現した。また、現在の攻撃のみならず、未来の攻撃を予知する手がかりとなる、攻撃者の動機を分析するシステムを構築した。
|
