DNSバックスキャッターによるIPv6ネットワークでの大規模スキャン検出

• 研究課題/領域番号: 18H03237
• 研究種目: 基盤研究(B)
• 配分区分: 補助金
• 応募区分: 一般
• 審査区分: 小区分60060:情報ネットワーク関連
• 研究機関: 国立情報学研究所
• 研究代表者: 福田 健介 国立情報学研究所, アーキテクチャ科学研究系, 准教授 (90435503)
• 研究期間 (年度): 2018-04-01 – 2021-03-31
• 研究課題ステータス: 完了 (2020年度)
• 配分額: 17,160千円 (直接経費: 13,200千円、間接経費: 3,960千円); 2020年度: 5,070千円 (直接経費: 3,900千円、間接経費: 1,170千円); 2019年度: 5,850千円 (直接経費: 4,500千円、間接経費: 1,350千円); 2018年度: 6,240千円 (直接経費: 4,800千円、間接経費: 1,440千円)
• キーワード: インターネット / DNS / スキャン / セキュリティ / ネットワークスキャン / バックスキャッター / IPv6

研究成果の概要

IPv4インターネットではネットワークアドレスが32ビットであるため，アドレス空間全体へのネットワークスキャンは簡単に行うことができる．しかしIPv6ではアドレス空間が非常に大きいためランダムネットワークスキャンを行うこともそのようなスキャンを検出することも容易ではない．本課題では，インターネットにおける名前解決プロトコルであるDNSの問い合わせを用いたIPv6ネットワークスキャン検出手法の提案・評価を行った．DNSバックスキャッター技術を用いることで，既存の検出センサネットワークであるダークネットやバックボーンでの検出と比べて効率的にスキャンが検出可能であることが示された．

研究成果の学術的意義や社会的意義

本課題では，ネットワーク上で起こるIPv6ネットワークスキャンを中央集権的なDNSへのクエリをルールベースの識別器を用いることで検出する技術を確立した．この技術により，局所的なネットワーク監視をネットワーク中で大規模に行う必要なく，root DNSへのクエリの観測のみから検出できることから，全インターネットで起こりうる大規模ネットワークスキャンを検出することが原理的に可能となった．ネットワーク管理者・運用者は提案手法を用いることで自ネットワークでの異常検出が容易となると期待できる．

研究成果

• [国際共同研究] 南カリフォルニア大学(米国)
• [国際共同研究] 南カリフォルニア大学(米国)
• [雑誌論文] Towards detecting DNSSEC validation failure with passive measurements (2020)
  • 著者名/発表者名: K.Fukuda, Y.Yoneya, T.Mitamura
  • 雑誌名: Proceedings of IEEE/IFIP ANNET2020 巻: 2020 ページ: 1-6
  • DOI: 10.1109/noms47738.2020.9110466
  • 査読あり
• [雑誌論文] HUMAN - Hierarchical Clustering for Unsupervised Anomaly Detection and Interpretation (2020)
  • 著者名/発表者名: P.Mulinka, P.Casas, K.Fukuda, L.Kencl
  • 雑誌名: Proceedings of NoF 2020 巻: 2020 ページ: 132-140
  • DOI: 10.1109/nof50125.2020.9249194
  • 査読あり / 国際共著
• [雑誌論文] WhatsThat? On the Usage of Hierarchical Clustering for Unsupervised Detection & Interpretation of Network Attacks (2020)
  • 著者名/発表者名: P.Mulinka, K.Fukuda, P.Casas, L.Kencl
  • 雑誌名: Proceedings of IEEE European Symposium on Security and Privacy Workshops 巻: 2020 ページ: 574-583
  • DOI: 10.1109/eurospw51379.2020.00084
  • 査読あり / 国際共著
• [雑誌論文] Toward Detecting IoT Device Traffic in Transit Networks (2020)
  • 著者名/発表者名: Guannan Hu and Kensuke Fukuda
  • 雑誌名: Proceedings of ICAIIC2020 巻: 0 ページ: 525-530
  • 査読あり
• [雑誌論文] Who Knocks at the IPv6 Door?: Detecting IPv6 Scanning, (2018)
  • 著者名/発表者名: K.Fukuda, J.Heidemann
  • 雑誌名: Proceedings of ACM IMC 2018 巻: - ページ: 231-237
  • DOI: 10.1145/3278532.3278553
  • 査読あり / オープンアクセス / 国際共著
• [雑誌論文] Robust Peer to Peer Mobile Botnet Detection by Using Communication Patterns (2018)
  • 著者名/発表者名: S.Mongkollusksamee, V.Visoottiviseth, K.Fukuda
  • 雑誌名: Proceedings of AINTEC 2018 巻: - ページ: 38-45
  • DOI: 10.1145/3289166.3289172
  • 査読あり / オープンアクセス / 国際共著
• [雑誌論文] 大規模IPv6アドレス収集手法の検討 (2018)
  • 著者名/発表者名: 新津雄大，小林諭，福田健介，江崎浩
  • 雑誌名: 電子情報通信学会 インターネットアーキテクチャ研究会 巻: - ページ: 1-8
• [学会発表] IPv6エイリアス空間検出を考慮したハニーネットの検討 (2019)
  • 著者名/発表者名: 小林日向, 小林諭，福田健介，江崎浩
  • 学会等名: 電子情報通信学会インターネットアーキテクチャ研究会
• [学会発表] Detecting large-scale network scanners in IPv4/IPv6 networks (2019)
  • 著者名/発表者名: Kensuke Fukuda
  • 学会等名: Proceedings of FDSE/ACOMP 2019
  • 国際学会 / 招待講演
• [学会発表] Collecting a large number of IPv6 addresses (2018)
  • 著者名/発表者名: Y.Aratsu, S.Kobayashi, K.Fukuda, H.Esaki
  • 学会等名: Internet Conference 2018