@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00192677,
 author = {佐藤, 彰洋 and 中村, 豊 and 小倉, 光貴 and 野林, 大起 and 池永, 全志 and Akihiro, Satoh and Yutaka, Nakamura and Mitsutaka, Ogura and Daiki, Nobayashi and Takeshi, Ikenaga},
 book = {インターネットと運用技術シンポジウム論文集},
 month = {Nov},
 note = {マルウェアはインターネットにおける重大な脅威のひとつである．ネットワーク内の感染端末を検出するためには，ブラックリストを利用した通信の監視が一般的である．しかしながら，ブラックリストに基づく検出は，(1) ブラックリストは必ず幾つかの誤りを含むこと，(2) 検出結果の正誤の判断が困難であることが問題となる．本稿では，ブラックリストによる検出結果の効率的な分析のため，悪性 DNS クエリ分類手法を提案する．本手法は，従来のドメイン文字列による表層的な類似性に基づく分類とは異なり，悪性クエリとそれに付随するクエリ群が潜在的に示す原因に基づく分類を実現する．実験により，ブラックリストにより検出された 388 のクエリを 3 のクラスタに分類できること，各クラスタが共通の原因のクエリのみで構成されることを確認した．, Malware is some of the most serious threats to network security. One common way for detecting infected machines in a network is by monitoring communications based on blacklists. However, the detection is problematic in that (1) none of the blacklists is completely reliable, and (2) a blacklist doesn't provide the sufficient evidence to determine the validity and accuracy of detection results. In this paper, we propose a malicious DNS query clustering approach for blacklists based detection. Unlike conventional classification based on the superficial similarity of character strings in domain names, our approach realizes cause-based classifications latently indicated by malicious queries and their accompanying queries. In experiments, we confirmed that this approach could classify the 388 malicious queries detected through blacklists into the 3 clusters consisting of queries with common cause.},
 pages = {100--105},
 publisher = {情報処理学会},
 title = {ブラックリストに基づく検出の効率化に向けた悪性DNSクエリ分類手法},
 volume = {2018},
 year = {2018}
}