電子情報通信学会 研究会発表申込システム
講演論文 詳細
技報閲覧サービス
技報オンライン
‥‥ (ESS/通ソ/エレソ/ISS)
技報アーカイブ
‥‥ (エレソ/通ソ)
 トップに戻る 前のページに戻る   [Japanese] / [English] 

講演抄録/キーワード
講演名 2013-03-25 13:00
Finding Malicious Authoritative DNS Servers
Yin Minn Pa PaDaisuke MakitaKatsunari YoshiokaTsutomu MatsumotoYokohama National Univ.ICSS2012-61
抄録 (和) This study proposes an approach to find authoritative DNS servers that are heavily involved with
malicious online activities. For example, in order to construct a fast flux network, attackers need to have full control on
authoritative DNS servers so that he or she can abuse on their round robin feature. These DNS servers may have been setup by
attackers themselves or they may be legitimate servers compromised and misused by the attackers. Either way, we believe that
focusing on such maliciously used authoritative DNS servers can be a new aspect for understanding the underlying malicious
online activities. In this study, we consider four features, fraction of blacklisted domains, Server Fail response history, TTL of
DNS server’s domain, and domain flux size, to evaluate an authoritative DNS server. Using these features, we evaluate 74,830
authoritative DNS servers of domains observed at a cache DNS server. As a result, we determine 31, 15, and 85 servers as
malicious, respectively using fraction of blacklisted domains, TTL of DNS server’s domain, and domain flux. We confirm that
21% of the detected servers are true positive according to several published security reports exhibiting the possibility of these
features as metric to find malicious DNS servers. 
(英) This study proposes an approach to find authoritative DNS servers that are heavily involved with
malicious online activities. For example, in order to construct a fast flux network, attackers need to have full control on
authoritative DNS servers so that he or she can abuse on their round robin feature. These DNS servers may have been setup by
attackers themselves or they may be legitimate servers compromised and misused by the attackers. Either way, we believe that
focusing on such maliciously used authoritative DNS servers can be a new aspect for understanding the underlying malicious
online activities. In this study, we consider four features, fraction of blacklisted domains, Server Fail response history, TTL of
DNS server’s domain, and domain flux size, to evaluate an authoritative DNS server. Using these features, we evaluate 74,830
authoritative DNS servers of domains observed at a cache DNS server. As a result, we determine 31, 15, and 85 servers as
malicious, respectively using fraction of blacklisted domains, TTL of DNS server’s domain, and domain flux. We confirm that
21% of the detected servers are true positive according to several published security reports exhibiting the possibility of these
features as metric to find malicious DNS servers.
キーワード (和) Malicious Authoritative DNS Server / / / / / / /  
(英) Malicious Authoritative DNS Server / / / / / / /  
文献情報 信学技報, vol. 112, no. 499, ICSS2012-61, pp. 25-30, 2013年3月.
資料番号 ICSS2012-61 
発行日 2013-03-18 (ICSS) 
ISSN Print edition: ISSN 0913-5685  Online edition: ISSN 2432-6380
著作権に
ついて
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034)
PDFダウンロード ICSS2012-61

研究会情報
研究会 ICSS  
開催期間 2013-03-25 - 2013-03-25 
開催地(和) 横浜国立大学 
開催地(英) Yokohama National University 
テーマ(和) 通信セキュリティ,一般 
テーマ(英) Communication Security, etc. 
講演論文情報の詳細
申込み研究会 ICSS 
会議コード 2013-03-ICSS 
本文の言語 英語 
タイトル(和)  
サブタイトル(和)  
タイトル(英) Finding Malicious Authoritative DNS Servers 
サブタイトル(英)  
キーワード(1)(和/英) Malicious Authoritative DNS Server / Malicious Authoritative DNS Server  
キーワード(2)(和/英) /  
キーワード(3)(和/英) /  
キーワード(4)(和/英) /  
キーワード(5)(和/英) /  
キーワード(6)(和/英) /  
キーワード(7)(和/英) /  
キーワード(8)(和/英) /  
第1著者 氏名(和/英/ヨミ) Yin Minn Pa Pa / Yin Minn Pa Pa /
第1著者 所属(和/英) Yokohama National University (略称: 横浜国大)
Yokohama National University (略称: Yokohama National Univ.)
第2著者 氏名(和/英/ヨミ) Daisuke Makita / Daisuke Makita /
第2著者 所属(和/英) Yokohama National University (略称: 横浜国大)
Yokohama National University (略称: Yokohama National Univ.)
第3著者 氏名(和/英/ヨミ) Katsunari Yoshioka / Katsunari Yoshioka /
第3著者 所属(和/英) Yokohama National University (略称: 横浜国大)
Yokohama National University (略称: Yokohama National Univ.)
第4著者 氏名(和/英/ヨミ) Tsutomu Matsumoto / Tsutomu Matsumoto /
第4著者 所属(和/英) Yokohama National University (略称: 横浜国大)
Yokohama National University (略称: Yokohama National Univ.)
第5著者 氏名(和/英/ヨミ) / /
第5著者 所属(和/英) (略称: )
(略称: )
第6著者 氏名(和/英/ヨミ) / /
第6著者 所属(和/英) (略称: )
(略称: )
第7著者 氏名(和/英/ヨミ) / /
第7著者 所属(和/英) (略称: )
(略称: )
第8著者 氏名(和/英/ヨミ) / /
第8著者 所属(和/英) (略称: )
(略称: )
第9著者 氏名(和/英/ヨミ) / /
第9著者 所属(和/英) (略称: )
(略称: )
第10著者 氏名(和/英/ヨミ) / /
第10著者 所属(和/英) (略称: )
(略称: )
第11著者 氏名(和/英/ヨミ) / /
第11著者 所属(和/英) (略称: )
(略称: )
第12著者 氏名(和/英/ヨミ) / /
第12著者 所属(和/英) (略称: )
(略称: )
第13著者 氏名(和/英/ヨミ) / /
第13著者 所属(和/英) (略称: )
(略称: )
第14著者 氏名(和/英/ヨミ) / /
第14著者 所属(和/英) (略称: )
(略称: )
第15著者 氏名(和/英/ヨミ) / /
第15著者 所属(和/英) (略称: )
(略称: )
第16著者 氏名(和/英/ヨミ) / /
第16著者 所属(和/英) (略称: )
(略称: )
第17著者 氏名(和/英/ヨミ) / /
第17著者 所属(和/英) (略称: )
(略称: )
第18著者 氏名(和/英/ヨミ) / /
第18著者 所属(和/英) (略称: )
(略称: )
第19著者 氏名(和/英/ヨミ) / /
第19著者 所属(和/英) (略称: )
(略称: )
第20著者 氏名(和/英/ヨミ) / /
第20著者 所属(和/英) (略称: )
(略称: )
講演者
発表日時 2013-03-25 13:00:00 
発表時間 25 
申込先研究会 ICSS 
資料番号 IEICE-ICSS2012-61 
巻番号(vol) IEICE-112 
号番号(no) no.499 
ページ範囲 pp.25-30 
ページ数 IEICE-6 
発行日 IEICE-ICSS-2013-03-18 


[研究会発表申込システムのトップページに戻る]

[電子情報通信学会ホームページ]


IEICE / 電子情報通信学会