DNSトンネリング経由標的型攻撃に対する普遍的特徴量を用いた検知手法に関する研究
Project/Area Number |
19K24351
|
Research Category |
Grant-in-Aid for Research Activity Start-up
|
Allocation Type | Multi-year Fund |
Review Section |
1001:Information science, computer engineering, and related fields
|
Research Institution | Osaka Prefecture University |
Principal Investigator |
近藤 大嗣 大阪府立大学, 工学(系)研究科(研究院), 助教 (10844160)
|
Project Period (FY) |
2019-08-30 – 2022-03-31
|
Project Status |
Granted (Fiscal Year 2020)
|
Budget Amount *help |
¥2,860,000 (Direct Cost: ¥2,200,000、Indirect Cost: ¥660,000)
Fiscal Year 2020: ¥1,430,000 (Direct Cost: ¥1,100,000、Indirect Cost: ¥330,000)
Fiscal Year 2019: ¥1,430,000 (Direct Cost: ¥1,100,000、Indirect Cost: ¥330,000)
|
Keywords | ネットワークセキュリティ / DNSトンネリング / 標的型攻撃 |
Outline of Research at the Start |
近年、DNSトンネリングを利用した標的型攻撃による情報漏洩が確認されている。このDNSトンネリング自体の関連研究は複数存在し、有効な検知手法が提案されている。しかしこれらの手法は、特定トンネリングツール等から得られる特徴量を元に構築されているため、攻撃者はこのような特徴量を生み出さないマルウェアを作成して、検知手法をバイパスすることは容易である。そのため、様々な未知のDNSトンネリングトラフィックに対しては対処できないという根本的な問題が存在する。そこで本研究では、特定のDNSトンネリングトラフィックに依存しない汎用性のあるDNSトンネリング検知手法を設計し、情報漏洩を防止することを目指す。
|
Outline of Annual Research Achievements |
標的型攻撃による情報漏洩問題は極めて深刻な社会問題であり、その中でもDNSトンネリングを利用した情報漏洩が確認されている。このDNSトンネリング自体の関連研究は複数存在し、有効な検知手法が提案されている。しかしこれらの手法は、特定マルウェアや特定トンネリングツールから得られる特徴量を元に構築されているため、攻撃者はこのような特徴量を生み出さないマルウェア(例えば、一般ユーザの行動を模倣するマルウェア)を作成して、検知手法をバイパスすることは容易であると考える。そのため、様々な未知のDNSトンネリングトラフィックに対しては対処できないという根本的な問題が存在する。そこで本研究では、特定のDNSトンネリングトラフィックに依存しない汎用性のあるDNSトンネリング検知手法を設計し、情報漏洩を防止することを目指す。 当該年度では、昨年度に提案したキャッシュ特性に基づく特徴量を元に、ルールベースとLSTMベースの2種類のフィルタを設計・作成し、それらの性能評価を行った。両フィルタは攻撃の誤検知率を低く保ちながら、ルールベースフィルタはLSTMベースフィルタよりも攻撃検知の精度は高く、またLSTMベースフィルタはルールベースフィルタよりも検知スピードは速いということを示した。これらの検知手法の制約として、マルウェアがDNSクエリの送信頻度を劇的に低下させ、キャッシュ特性に変化を与えない状況では検知が困難であるということがわかった。そこで、キャッシュ特性に基づく特徴量とそれに親和性が高い他の特徴量を利用したドメインツリーに基づくフィルタを設計・作成し、その初期性能評価を行った。長期間にわたるDNSトラフィックに対して、提案したドメインツリーに基づくフィルタを適用することで、データ流出の可能性があるドメインを検知しつつ、人間が手動で評価できるほどの検知ドメイン数に抑えることができた。
|
Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
当該年度では、昨年度に提案したキャッシュ特性に基づく特徴量を元に、ルールベースとLSTMベースの2種類のフィルタを設計・作成し、それらの性能評価を予定通り行うことができた。この結果は、現在国際ジャーナルに投稿中である。また今後この結果を国内研究会にて発表する予定である。また、低スループットで情報を漏洩する高度な攻撃に対抗して、キャッシュ特性に基づく特徴量とそれに親和性が高い他の特徴量を利用したドメインツリーに基づくフィルタを設計・作成し、その初期性能評価を行った。今後、フィルタの完成度を向上させて、国際ジャーナルへの投稿と国内研究会での発表を行う予定である。本研究を遂行する過程で、Webブラウザから1語の検索クエリがDNSに漏れる問題を発見し、その問題の実態調査と利用者の興味関心漏れによるプライバシー侵害の評価を行った。今後、国内研究会での発表を行い、国際レターへの投稿を行う予定である。
|
Strategy for Future Research Activity |
低スループットで情報を漏洩する高度なDNSトンネリング攻撃に対抗するフィルタの完成度を上げ、国内研究会での発表と国際ジャーナルへの投稿を行い、DNSトンネリング経由標的型攻撃に対する普遍的特徴量を用いた検知手法に関する研究を終わらせる。また、本研究を遂行する過程で発見したWebブラウザから1語の検索クエリがDNSに漏れる問題についても、国内研究会での発表と国際レターの投稿を行い、その研究も終わらせる。
|
Report
(2 results)
Research Products
(3 results)