セキュアなキャンパスネットワークのための能動型マルウェア検出システムに関する研究

2019 年度 実施状況報告書

• 研究課題/領域番号: 18K11296
• 研究機関: 九州工業大学
• 研究代表者: 佐藤 彰洋 九州工業大学, 情報基盤センター, 助教 (30609376)
• 研究期間 (年度): 2018-04-01 – 2021-03-31
• キーワード: ネットワークセキュリティ / マルウェア / C&C / ドメイン名

研究実績の概要

大学におけるBYODの実現のため，キャンパスネットワークで観測される通信のみからマルウェアを検出することが求められる．しかしながら，ネットワークで観測されるマルウェアの通信は非常に限定的であり，且つマルウェアは自身の通信を隠蔽する仕組みを有する．そこで本研究では，DNSに対する膨大な数の名前解決要求から存在期間が極端に短い悪性ドメインの判別を実現する．本研究の特徴は，DNSの名前解決要求のみから感染の疑わしい端末を特定できる点，その名前解決の応答を書き換えコールバック先を強制的に変更することでマルウェアに関する能動的な情報収集ができる点にある．
本研究は核となる3つの技術，(a)C&Cドメイン検出技術，(b)ドメイン選択技術，(c)マルウェア解析技術から成る．2019年度は「ドメイン選択技術」の確立と，次年度の研究の推進に向けた調査に着手した．
ドメイン選択技術は，名前解決の要求と応答の内容に基づき良性・悪性の判別を要するドメインの数を大きく絞り込む．例えば，ドメインが存在せず名前解決に失敗したことを意味するNXDOMAIN応答の除外である．これは，DGAではコールバック通信先のドメインの変更に伴い，DNSの名前解決において幾つかのNXDOMAIN応答が発生することに起因する．その技術の有用性を確認するため，九州工業大学のキャンパスネットワークにおいて実証実験を行った．その結果，良性と悪性の判別が必要なドメインの数を1%未満まで低減できることが明らかになった．これにより「C&Cドメイン検出技術」の計算時間の大幅な改善を実現した．

現在までの達成度 (区分)

2: おおむね順調に進展している

理由

当該年度は「ドメイン選択技術」の確立と，次年度の研究の推進に向けた調査に着手した．ネットワークにおけるDNSの名前解決要求は膨大であるため，ドメインの文字列解析によるC&Cドメイン検出技術では全てを処理することは難しい．それを補助するため，良性・悪性を判別すべきドメインを選定する技術を確立した．
DGAではコールバック通信先のドメインの変更に伴い，DNSの名前解決において幾つかのNXDOMAIN応答が発生することが知られている．この知見に基づき，NXDOMAIN応答を返した名前解決のみに着目することで，良性・悪性を判別するドメインの数を大きく絞り込む．しかしながら，ネットワークの規模によりNXDOMAIN応答だけでも膨大な数になる．その原因は，DNSBLによるもの，syslogの名前解決によるもの，ソフトウェアやウイルス対策ソフトの更新によるものなど多岐に渡る．故に，良性・悪性を判別するドメインの更なる絞り込みが求められる．
具体的なアプローチは，NXDOMAIN応答が，それ自身で原因が特定できるもの，それ以前の名前解決を参照することで原因が特定できるもの，原因の特定が困難なものに分類できることに着目して，ドメイン文字列の類似性に基づいて原因が明確なNXDOMAIN応答を除外する仕組みを検討した．次いで，原因の不明なNXDOMAIN応答に対して，ドメインの良性・悪性を判定する．この結果を保持することで，これ以降に発生する同様のNXDOMAIN応答を除外することが可能となる．
研究成果を取り纏めたものは，論文誌の投稿済みである．次年度に予定している「マルウェア解析技術」の実現に向けた調査には既に着手済みである．このように，本研究は，進捗・業績ともに概ね計画通りである．

今後の研究の推進方策

C&Cドメインの検出は，ドメイン文字列のみに基づいて良性・悪性を判別するため，如何に運用に耐え得る精度を実現するかが課題となる．それを補助するため，感染が疑われる端末からマルウェアに関する情報を能動的に収集する「マルウェア解析技術」を確立する．具体的なアプローチは，C&Cのドメインと判断された名前解決に対して，正規の内容に代わり情報収集システムのアドレスを返答する．これにより感染が疑われる端末が情報収集システムに送信する内容に基づいて感染の有無を判定する．留意すべきは，書き変えるのが本来NXDOMAIN応答を返す名前解決であるため，一般的な利用を全く阻害しない点である．
これまでのC&Cへのコールバック通信内容の調査により，HTTPのペイロード，URLのパラメタ，Cookieに埋め込むこと，または独自プロトコルでC&Cと情報交換することを確認した．実現のため，既知のマルウェアの通信や通常の通信との比較と，その差異による感染の判別を検討する．

研究成果

• [雑誌論文] Clustering Malicious DNS Queries for Blacklist-based Detection (2019)
  • 著者名/発表者名: Akihiro Satoh, Yutaka Nakamura, Daiki Nobayashi, Kazuto Sasai, Gen Kitagata, Takeshi Ikenaga
  • 雑誌名: IEICE Transactions on Information and Systems 巻: E102.D ページ: 1404-1407
  • DOI: https://doi.org/10.1587/transinf.2018EDL8211
  • 査読あり / オープンアクセス
• [学会発表] A Malicious Domain Detection Approach for Callbacks of DGA Bots (2020)
  • 著者名/発表者名: Akihiro Satoh, Yutaka Nakamura, Kazuto Sasai, Gen Kitagata
  • 学会等名: RIEC Annual Meeting on Cooperative Research Projects
  • 国際学会
• [学会発表] 辞書に基づくDGAボットにより生成された悪性ドメインの判別 (2019)
  • 著者名/発表者名: 佐藤彰洋，福田豊，和田数字郎，中村豊
  • 学会等名: インターネットと運用技術シンポジウム