研究課題/領域番号 |
19K24351
|
研究機関 | 大阪府立大学 |
研究代表者 |
近藤 大嗣 大阪府立大学, 工学(系)研究科(研究院), 助教 (10844160)
|
研究期間 (年度) |
2019-08-30 – 2022-03-31
|
キーワード | ネットワークセキュリティ / DNSトンネリング / 標的型攻撃 |
研究実績の概要 |
標的型攻撃による情報漏洩問題は極めて深刻な社会問題であり、その中でもDNSトンネリングを利用した情報漏洩が確認されている。このDNSトンネリング自体の関連研究は複数存在し、有効な検知手法が提案されている。しかしこれらの手法は、特定マルウェアや特定トンネリングツールから得られる特徴量を元に構築されているため、攻撃者はこのような特徴量を生み出さないマルウェア(例えば、一般ユーザの行動を模倣するマルウェア)を作成して、検知手法をバイパスすることは容易であると考える。そのため、様々な未知のDNSトンネリングトラフィックに対しては対処できないという根本的な問題が存在する。そこで本研究では、特定のDNSトンネリングトラフィックに依存しない汎用性のあるDNSトンネリング検知手法を設計し、情報漏洩を防止することを目指す。 当該年度では、昨年度に提案したキャッシュ特性に基づく特徴量を元に、ルールベースとLSTMベースの2種類のフィルタを設計・作成し、それらの性能評価を行った。両フィルタは攻撃の誤検知率を低く保ちながら、ルールベースフィルタはLSTMベースフィルタよりも攻撃検知の精度は高く、またLSTMベースフィルタはルールベースフィルタよりも検知スピードは速いということを示した。これらの検知手法の制約として、マルウェアがDNSクエリの送信頻度を劇的に低下させ、キャッシュ特性に変化を与えない状況では検知が困難であるということがわかった。そこで、キャッシュ特性に基づく特徴量とそれに親和性が高い他の特徴量を利用したドメインツリーに基づくフィルタを設計・作成し、その初期性能評価を行った。長期間にわたるDNSトラフィックに対して、提案したドメインツリーに基づくフィルタを適用することで、データ流出の可能性があるドメインを検知しつつ、人間が手動で評価できるほどの検知ドメイン数に抑えることができた。
|
現在までの達成度 (区分) |
現在までの達成度 (区分)
2: おおむね順調に進展している
理由
当該年度では、昨年度に提案したキャッシュ特性に基づく特徴量を元に、ルールベースとLSTMベースの2種類のフィルタを設計・作成し、それらの性能評価を予定通り行うことができた。この結果は、現在国際ジャーナルに投稿中である。また今後この結果を国内研究会にて発表する予定である。また、低スループットで情報を漏洩する高度な攻撃に対抗して、キャッシュ特性に基づく特徴量とそれに親和性が高い他の特徴量を利用したドメインツリーに基づくフィルタを設計・作成し、その初期性能評価を行った。今後、フィルタの完成度を向上させて、国際ジャーナルへの投稿と国内研究会での発表を行う予定である。本研究を遂行する過程で、Webブラウザから1語の検索クエリがDNSに漏れる問題を発見し、その問題の実態調査と利用者の興味関心漏れによるプライバシー侵害の評価を行った。今後、国内研究会での発表を行い、国際レターへの投稿を行う予定である。
|
今後の研究の推進方策 |
低スループットで情報を漏洩する高度なDNSトンネリング攻撃に対抗するフィルタの完成度を上げ、国内研究会での発表と国際ジャーナルへの投稿を行い、DNSトンネリング経由標的型攻撃に対する普遍的特徴量を用いた検知手法に関する研究を終わらせる。また、本研究を遂行する過程で発見したWebブラウザから1語の検索クエリがDNSに漏れる問題についても、国内研究会での発表と国際レターの投稿を行い、その研究も終わらせる。
|
次年度使用額が生じた理由 |
新型コロナウイルスの影響で旅費の利用がなかった。また、投稿中の国際ジャーナルや未発表の研究実績もあるため、その他の利用が少なかった。そこで、令和3年度は、現地開催の会議等が実施されれば旅費を利用し、また全研究実績を公開するため、その他の経費を利用する予定である。
|