• Search Research Projects
  • Search Researchers
  • How to Use
  1. Back to previous page

DNSトンネリング経由標的型攻撃に対する普遍的特徴量を用いた検知手法に関する研究

Research Project

Project/Area Number 19K24351
Research Category

Grant-in-Aid for Research Activity Start-up

Allocation TypeMulti-year Fund
Review Section 1001:Information science, computer engineering, and related fields
Research InstitutionOsaka Prefecture University

Principal Investigator

近藤 大嗣  大阪府立大学, 工学(系)研究科(研究院), 助教 (10844160)

Project Period (FY) 2019-08-30 – 2021-03-31
Project Status Granted (Fiscal Year 2019)
Budget Amount *help
¥2,860,000 (Direct Cost: ¥2,200,000、Indirect Cost: ¥660,000)
Fiscal Year 2020: ¥1,430,000 (Direct Cost: ¥1,100,000、Indirect Cost: ¥330,000)
Fiscal Year 2019: ¥1,430,000 (Direct Cost: ¥1,100,000、Indirect Cost: ¥330,000)
Keywordsネットワークセキュリティ / DNSトンネリング / 標的型攻撃
Outline of Research at the Start

近年、DNSトンネリングを利用した標的型攻撃による情報漏洩が確認されている。このDNSトンネリング自体の関連研究は複数存在し、有効な検知手法が提案されている。しかしこれらの手法は、特定トンネリングツール等から得られる特徴量を元に構築されているため、攻撃者はこのような特徴量を生み出さないマルウェアを作成して、検知手法をバイパスすることは容易である。そのため、様々な未知のDNSトンネリングトラフィックに対しては対処できないという根本的な問題が存在する。そこで本研究では、特定のDNSトンネリングトラフィックに依存しない汎用性のあるDNSトンネリング検知手法を設計し、情報漏洩を防止することを目指す。

Outline of Annual Research Achievements

標的型攻撃による情報漏洩問題は極めて深刻な社会問題であり、その中でもDNSトンネリングを利用した情報漏洩が確認されている。このDNSトンネリング自体の関連研究は複数存在し、有効な検知手法が提案されている。しかしこれらの手法は、特定マルウェアや特定トンネリングツールから得られる特徴量を元に構築されているため、攻撃者はこのような特徴量を生み出さないマルウェア(例えば、一般ユーザの行動を模倣するマルウェア)を作成して、検知手法をバイパスすることは容易であると考える。そのため、様々な未知のDNSトンネリングトラフィックに対しては対処できないという根本的な問題が存在する。そこで本研究では、特定のDNSトンネリングトラフィックに依存しない汎用性のあるDNSトンネリング検知手法を設計し、情報漏洩を防止することを目指す。
そのためにまず当該年度では、申請者の研究室から通常ユーザとして集われた複数の被験者の通常DNSトラフィックに加えて、マルウェアのDNSトラフィックの取得が困難であるため、代わりにDNSトンネリングツールを利用して様々なシナリオ環境下(例えば、漏洩ファイルの転送)で発生させたDNSトラフィックを測定した。そして、その測定点において、DNSトンネリングトラフィックが発生したことによりDNSキャッシュサーバ中に現れる普遍的な特徴量である、DNSトラフィックに対するキャッシュ特性に基づく特徴量を時系列解析によって評価を行い、DNSトンネリングトラフィック発生時にてその特徴量に変化があることを検証した。また、DNSトンネリングに関する攻撃手法と防御手法の分類を行い、本研究のポジションを明確化した。

Current Status of Research Progress
Current Status of Research Progress

2: Research has progressed on the whole more than it was originally planned.

Reason

DNSトラフィック測定実験を終え、DNSトンネリングトラフィックが発生したことによりDNSキャッシュサーバ中に現れる普遍的な特徴量である、DNSトラフィックに対するキャッシュ特性に基づく特徴量の時系列解析を予定通り行うことができた。この解析から、提案特徴量はDNSトンネリングトラフィック発生の検知に有効であることが示され、その結果を国内研究会と国際会議にて発表した。また、DNSトンネリングに関する攻撃手法と防御手法の分類を行った。この分類により、攻撃者が攻撃を防御者に検知されずに成功させるための攻撃手法と、それに対し防御者が提案すべき防御手法を示し、その結果を国内研究会にて発表した。

Strategy for Future Research Activity

キャッシュ特性に基づく特徴量特徴量を元に、フィルタを設計・作成し、そのフィルタの性能を評価する。しかしながら、この検知手法の制約は、マルウェアがDNSクエリの送信頻度を劇的に低下させた場合のように、キャッシュ特性に変化を与えない状況では検知が困難であると考えられるため、さらに低スループットへ対応するフィルタを設計・作成する。

Report

(1 results)
  • 2019 Research-status Report

Research Products

(3 results)

All 2020 2019

All Presentation

  • [Presentation] Cache-Property-Aware Features for DNS Tunneling Detection2020

    • Author(s)
      N. Ishikura, D. Kondo, I. Iordanov, V. Vassiliades, and H. Tode
    • Organizer
      ICIN
    • Related Report
      2019 Research-status Report
    • Int'l Joint Research
  • [Presentation] DNSトンネリングに関する攻撃手法と防御手法の分類2020

    • Author(s)
      石倉直武, 近藤大嗣, 戸出英樹
    • Organizer
      電子情報通信学会ネットワークシステム研究会
    • Related Report
      2019 Research-status Report
  • [Presentation] DNSトンネリング検知のためのキャッシュ特性に基づく特徴量2019

    • Author(s)
      石倉直武, 近藤大嗣, 戸出英樹
    • Organizer
      電子情報通信学会ネットワークシステム研究会
    • Related Report
      2019 Research-status Report

URL: 

Published: 2019-09-03   Modified: 2021-01-27  

Information User Guide FAQ News Terms of Use Attribution of KAKENHI

Powered by NII kakenhi