|
インターネット上では日々様々なデータトラフィックが流通している.その多くは正しいものであるが,一部のトラフィックは異常なものである.また,インターネット上の影響度合いという意味では,正常,異常トラフィックともに,少数のホストが関与している場合,多くのホストが関与している場合がある.本研究では,後者の多くのホストによる大きなイベントの検出を目指している.その例としては,CDNやメーリングリストに関係する正常なもの,ネットワークスキャンやスパム送信等の異常なものである.
基本的なアプローチとしては,インターネット上の名前解決方式であるDNSを用いて,どのような名前が普段と異なる振る舞いをするかに着目する.本年度はDNSの逆引きクエリ名を用いたDNSバックスキャッターの学習データおよびその精度に関して研究を進めた.その結果,正常を示すホストの生存期間は比較的長いものの,異常を示すホストの生存期間は短く学習に大きく影響することが判明した.この結果は国際論文誌に論文としてまとめ投稿した.
また,マルウェア等が使用するランダムな名前を検出するために,DNSのクエリ名とクエリホストからDNSグラフを構築し,そのグラフ内の確率伝搬に基づいた未知の異常クエリの検出手法を提案・評価した.この手法により,2000以上の未知のドメイン名を堅守することが可能となり,この結果をまとめた論文は国内論文誌に掲載された.
同様に,バックスキャッターの正解データの精度を上げるために,バックボーントラフィックデータよりスキャンおよび協調スキャンを効率良く発見する手法を開発し,国際会議論文としてまとめた.
|
