講演抄録/キーワード |
講演名 |
2008-09-11 10:40
DNS監視による異常クライアントの検知 ○山田 明(KDDI研/東北大)・三宅 優(KDDI研)・寺邊正大・橋本和夫・加藤 寧(東北大) NS2008-44 |
抄録 |
(和) |
メールやWeb など様々なプロトコルにおける名前解決の基盤としてDomain Name System(DNS)が利用されている.そこで,DNS 監視によって,それらのプロトコルにおけるクライアントの振る舞いを監視できる可能性が示されている.これまで提案されてきた方式は,企業LAN 規模のようなクライアント数の少ないネットワークを監視する方式であり,ISP のようなクライアント数の多いネットワークへの適用が困難である.本稿では,クライアント数が多いネットワークにおいても,異常なクライアントを検知する方式を提案する.提案方式は,障害の原因となりやすい流量の多いクライアントのみを選別して判定処理を行うことによって,対象クライアントを個別に監視するのに要する総計算量や総記憶量を削減できる.実DNS サーバの6ヶ月間の通信による評価から,スパムメール送受信などの異常を検知できることを示す. |
(英) |
Most protocols, such as HTTP or SMTP are based on the Domain Name System (DNS) as the name resolution. Because these clients need to resolve names during the protocol sequence, it is possible to observe the behavior of the clients by monitoring DNS without the sequences. The previous works cannot support an ISP-scale network that has more clients than LAN. In this paper, we propose an anomaly detection that targets on DNS severs
that have a large number of clients. In order to reduce computational cost, the proposed system selects clients that potentially cause anomalies by heavy hitter detection algorithm. We evaluate the proposed system using DNS traffic for 6 months, and show the system can detects several anomalies, such as mass-mailing clients and miss-configured
DNS servers. |
キーワード |
(和) |
DNS / ISP / クライアント / 異常検知 / スパム / / / |
(英) |
DNS / ISP / Client / Anomaly detection / SPAM / / / |
文献情報 |
信学技報, vol. 108, no. 203, NS2008-44, pp. 11-16, 2008年9月. |
資料番号 |
NS2008-44 |
発行日 |
2008-09-04 (NS) |
ISSN |
Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
NS2008-44 |
|