| Item type |
SIG Technical Reports(1) |
| 公開日 |
2020-02-24 |
| タイトル |
|
|
タイトル |
NXDOMAIN応答に着目したDGAを用いるボットの検知・遮断システムの実装と評価 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Implementation and Evaluation of Detection and Blocking System against DGA-based Bot by Focusing on NXDOMAIN Responses |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
セキュリティ |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
| 著者所属 |
|
|
|
北海道大学大学院情報科学研究科 |
| 著者所属 |
|
|
|
東京工業大学 |
| 著者所属 |
|
|
|
北海道大学大学院情報科学研究科/東京工業大学 |
| 著者所属 |
|
|
|
北海道大学 |
| 著者所属 |
|
|
|
北海道大学 |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Information Science and Technology, Hokkaido University |
| 著者所属(英) |
|
|
|
en |
|
|
Tokyo Institute of Technology |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Information Science and Technology, Hokkaido University / Tokyo Institute of Technology |
| 著者所属(英) |
|
|
|
en |
|
|
Information Initiative Center, Hokkaido University |
| 著者所属(英) |
|
|
|
en |
|
|
Information Initiative Center, Hokkaido University |
| 著者名 |
井内, 裕貴
金, 勇
一瀬, 光
飯田, 勝吉
高井, 昌彰
|
| 著者名(英) |
Yuki, Iuchi
Yong, Jin
Hikaru, Ichise
Katsuyoshi, Iida
Yoshiaki, Takai
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
昨今ボットによる被害が増大している.本研究では Domain Generation Algorithm (DGA) 型ボットを対象とし,その感染の検知及び遮断を目的とする.そのため,当該ボットによるCommand & Comrol (C&C) サーバの DNS 検索の特徴を利用する.すなわち DGA 型ポットは,現在時刻や SNS トレンドなどをシードとした擬似乱数を用いて多数の識別困難なドメイン名を生成する.攻撃者は生成したドメイン名の一部を C&C サーバのドメイン名として権威 DNS に登録し,DNS で検索可能とする.C&C サーバのドメイン名は攻撃者以外が予測することは困難であり,そのため DNS 通信の観測のみでは不正通信の識別が困難である.この課題の解決策として DGA の特徴「多数の未登録ドメイン名も生成されるため,ドメイン名の不在応答である NXDOMAIN 応答が送信される」に着目する.本研究ではボットの感染拡大時に発生する NXDOMAIN 応答を分析し,それにより不正 DNS 通信の検知とその遮断を実現するシステムを設計,実装し,そして多数の DGA を用いた検証実験を行う. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Recently, security attacks caused by a bot have been widely spreading. In this research, we aim to detect and block Domain Generation Algorithms (DGAs) based bots by focusing on special characteristics of DNS domain name resolutions for Command & Control (C&C) servers. The DGAs generate domain names using pseudo random functions with the seed of the current time of day, the trend keywords in SNS, etc. The attackers register a part of the generated domain names on the authoritative DNS server in order to make the bots find out the C&C server. The generated domain names are difficult to be estimated by other individuals than the attackers therefore the network administrators can hardly identify malicious DNS domain name resolutions. To deal with this issue, we focus on the characteristic of DGAs, namely NXDOMAIN responses were frequently received because many generated domain names have not been registered on the authoritative DNS server. In this paper, we design and implement a system to detect and block the malicious DNS domain name resolutions by analyzing the NXDOMAIN responses, which are received when the bots tiy to find out the C&C servers. By using the prototype system, we also evaluate its effectiveness with multiple DGAs. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AA12326962 |
| 書誌情報 |
研究報告インターネットと運用技術(IOT)
巻 2020-IOT-48,
号 2,
p. 1-6,
発行日 2020-02-24
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8787 |
| Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-IOT20048002.pdf (1.5 MB)
