| 研究実績の概要 |
大学におけるBYODの実現のため,キャンパスネットワークで観測される通信のみからマルウェアを検出することが求められる.しかしながら,ネットワークで観測されるマルウェアの通信は非常に限定的であり,且つマルウェアは自身の通信を隠蔽する仕組みを有する.そこで本研究では,DNSに対する膨大な数の名前解決要求から存在期間が極端に短い悪性ドメインの判別を実現する.本研究の特徴は,DNSの名前解決要求のみから感染の疑わしい端末を特定できる点,その名前解決の応答を書き換えコールバック先を強制的に変更することでマルウェアに関する能動的な情報収集ができる点にある.
本研究は核となる3つの技術,(a)C&Cドメイン検出技術,(b)ドメイン選択技術,(c)マルウェア解析技術から成る.本研究課題の最終年となる2020年度は「マルウェア解析技術」の確立と,それら3つの技術を統合した総合評価を実施した.
マルウェア解析技術は,C&Cドメイン検出技術の精度向上を補助するため,感染が疑われる端末からマルウェアに関する情報を能動的に収集する.具体的なアプローチは,C&Cのドメインと判断された名前解決に対して,正規の内容に代わり情報収集システムのアドレスを返答する.これにより感染が疑われる端末が情報収集システムに送信する内容に基づいて感染の有無を判定する.留意すべきは,書き変えるのが本来NXDOMAIN応答を返す名前解決であるため,一般的な利用を全く阻害しない点である.
また,3つの技術を統合した総合評価のため,九州工業大学のキャンパスネットワークにおいて実証実験を行った.その結果,1ヶ月間に観測された3,304,505のNXDOMAIN応答を返すDNSクエリから,6520の感染が疑われる悪性クエリを検出できることが明らかになった.これにより本研究成果の有用性を実証した.
|
