DNSトラフィックを用いた感染端末の検知手法

向後 宗一郎; 金井 敦

講演名	2021-03-01 DNSトラフィックを用いた感染端末の検知手法向後宗一郎(法政大), 金井敦(法政大),
PDFダウンロードページ	PDFダウンロードページへ
抄録(和)	マルウェアによる被害は年々より顕著になっていくことが考えられる．しかし，ネットワークに接続されるすべての端末を管理するのは多大な労力が必要となる．そこで，端末側ではなくネットワークトラフィックを観察することで，不正トラフィックを検知する．端末依存ではないため，端末側に負担をかけることなく感染端末を特定でき，有効と考えられる．本論文では，感染した場合に変化が現れると想定されるDNSトラフィックを対象に分析することにより，BOT化した端末の検知手法を提案する．不正トラフィックの判定には，DNSパケットのAレコードから取得できる特徴量と機械学習としてRandom Forestを用い，実際に検証した．その結果，高い精度と高速な判定が可能であることを実証した．
抄録(英)	The damage caused by computer viruses is becoming a serious problem. However, it requires a lot of effort to manage all the terminals connected to the network. Therefore, we focus on the network traffic instead of the terminal side. Since it doesn't depend on the terminal, it is effective in identifying infected terminals without placing a burden on the terminal side. In this paper, we propose a method for detecting BOT by analyzing DNS traffic, which is assumed to change when infected. We used features obtained from A-records of DNS packets and Random Forest as a machine learning method to determine unauthorized traffic. As a result, we have demonstrated that it is possible to achieve high-accuracy and high-speed detection.
キーワード(和)	機械学習 / 検知 / セキュリティ / マルウェア / ボット / BOT / DNS / IoT
キーワード(英)	Machine Learning / Detection / Security / Malware / BOT / DNS / IoT
資料番号	ICSS2020-27
発行日	2021-02-22 (ICSS)

研究会情報
研究会	ICSS / IPSJ-SPT
開催期間	2021/3/1(から2日開催)
開催地（和）	オンライン開催（ハイブリッド開催から変更）
開催地（英）	Online
テーマ（和）	セキュリティ、トラスト、一般
テーマ（英）	Security, Trust, etc.
委員長氏名（和）	高倉弘喜(NII)
委員長氏名（英）	Hiroki Takakura(NII)
副委員長氏名（和）	吉岡克成(横浜国大) / 神谷和憲(NTT)
副委員長氏名（英）	Katsunari Yoshioka(Yokohama National Univ.) / Kazunori Kamiya(NTT)
幹事氏名（和）	笠間貴弘(NICT) / 山田明(KDDI labs.)
幹事氏名（英）	Takahiro Kasama(NICT) / Akira Yamada(KDDI labs.)
幹事補佐氏名（和）	木藤圭亮(三菱電機) / 山内利宏(岡山大)
幹事補佐氏名（英）	Keisuke Kito(Mitsubishi Electric) / Toshihiro Yamauchi(Okayama Univ.)

講演論文情報詳細
申込み研究会	Technical Committee on Information and Communication System Security / Special Interest Group on Security Psychology and Trust
本文の言語	JPN
タイトル（和）	DNSトラフィックを用いた感染端末の検知手法
サブタイトル（和）
タイトル（英）	Detection of Infected Device Using DNS Traffic
サブタイトル（和）
キーワード(1)（和/英）	機械学習 / Machine Learning
キーワード(2)（和/英）	検知 / Detection
キーワード(3)（和/英）	セキュリティ / Security
キーワード(4)（和/英）	マルウェア / Malware
キーワード(5)（和/英）	ボット / BOT
キーワード(6)（和/英）	BOT / DNS
キーワード(7)（和/英）	DNS / IoT
キーワード(8)（和/英）	IoT
第 1 著者氏名（和/英）	向後宗一郎 / Soichiro Kogo
第 1 著者所属（和/英）	法政大学(略称：法政大) Hosei University(略称：Hosei Univ.)
第 2 著者氏名（和/英）	金井敦 / Atsushi Kanai
第 2 著者所属（和/英）	法政大学(略称：法政大) Hosei University(略称：Hosei Univ.)
発表年月日	2021-03-01
資料番号	ICSS2020-27
巻番号（vol）	vol.120
号番号（no）	ICSS-384
ページ範囲	pp.7-12(ICSS),
ページ数	6
発行日	2021-02-22 (ICSS)