| 講演名 | 2009-03-05 DNSクエリグラフを用いた悪性ドメイン名リスト評価(パラレル,インターネットと情報倫理教育,一般) 石橋 圭介, 豊野 剛, 佐藤 一道, 岩村 誠, |
|---|---|
| PDFダウンロードページ |  PDFダウンロードページへ |
| 抄録(和) | DDoSやスパム,フィッシングに用いられるボットネットはインターネット上の最も重要な脅威の一つとなっている.ボットネット検出の一手段として悪性ドメイン名リストに基づくDNSクエリ監視手法が挙げられる.この手法ではボットネット観測などによって得られる悪性ドメイン名リストに基づき,そのドメイン名の名前解決を行っているユーザをボットネット感染ホストとして特定する.しかしながら,そのような手法で取得された悪性ドメイン名リストはボットネットの全挙動を反映していない可能性がある.逆にいくつかのボットネットは接続性確認のために著名な検索サイトへアクセスすることがあり,このような場合悪性ドメイン名リストに著名サイトが登録されてしまう問題がある.本稿では,悪性ドメイン名リストにおけるその精度に関する上記課題を,ドメイン名とそのドメイン名の名前解決を行うユーザの関係からなるグラフを用いて向上する手法を提案する.試験的に評価し,悪性ドメイン名リストに掲載されていないドメイン名でワーム感染ホストが特有に名前解決を行うドメイン名を抽出出来ることを確認した. |
| 抄録(英) | Botnet hosts, which can be controlled by malicious operators for executing DDoS attacks or spamming, have been one of the major concerns of Internet security. One of the promising approaches for detecting those hosts is monitoring DNS traffic and detecting botnet-infected hosts by using black domain names. However, black domain name lists obtained through these methods may have a problem in their accuracy in that they do not cover all domain names caused by botnets. In addition, they may contain domain names that are not involved with botnet activities. In this paper, we propose a method to improve the accuracy of a black domain name list by using a DNS query graph, which composed with nodes of hosts and domains edeges representing query-relationship. Intuitively, domain names resolved by hosts that resolve many black domain names are also expected to be black, and domain names resolved by many hosts that do not resolve any black domain names are expected to be white. Thus, the DNS query graph indicates to us which domain names might be black or white. We also propose approximating a graph kernel value with random walk sampling because calculating a graph kernel requires operation of adjacency matrices of graphs, which may be difficult for huge graphs. We experimentally applied the proposed method using a black domain name list and DNS traffic. The result shows that most of the white domains mislisted as black can be removed. |
| キーワード(和) | DNS / Botnet / グラフカーネル |
| キーワード(英) | DNS / Botnet / Graph Kernel |
| 資料番号 | SITE2008-47,IA2008-70 |
| 発行日 |
| 研究会情報 | |
| 研究会 | IA |
|---|---|
| 開催期間 | 2009/2/26(から1日開催) |
| 開催地(和) | |
| 開催地(英) | |
| テーマ(和) | |
| テーマ(英) | |
| 委員長氏名(和) | |
| 委員長氏名(英) | |
| 副委員長氏名(和) | |
| 副委員長氏名(英) | |
| 幹事氏名(和) | |
| 幹事氏名(英) | |
| 幹事補佐氏名(和) | |
| 幹事補佐氏名(英) | |
| 講演論文情報詳細 | |
| 申込み研究会 | Internet Architecture(IA) |
|---|---|
| 本文の言語 | JPN |
| タイトル(和) | DNSクエリグラフを用いた悪性ドメイン名リスト評価(パラレル,インターネットと情報倫理教育,一般) |
| サブタイトル(和) | |
| タイトル(英) | Evaluation of Black Domain List by Using DNS Query Graph |
| サブタイトル(和) | |
| キーワード(1)(和/英) | DNS / DNS |
| キーワード(2)(和/英) | Botnet / Botnet |
| キーワード(3)(和/英) | グラフカーネル / Graph Kernel |
| 第 1 著者 氏名(和/英) | 石橋 圭介 / Keisuke ISHIBASHI |
| 第 1 著者 所属(和/英) | 日本電信電話株式会社NTT情報流通プラットフォーム研究所 NTT Information Sharing Platform Laboratories, NTT Corporation |
| 第 2 著者 氏名(和/英) | 豊野 剛 / Tsuyoshi TOYONO |
| 第 2 著者 所属(和/英) | 日本電信電話株式会社NTT情報流通プラットフォーム研究所 NTT Information Sharing Platform Laboratories, NTT Corporation |
| 第 3 著者 氏名(和/英) | 佐藤 一道 / Kazumichi SATO |
| 第 3 著者 所属(和/英) | 日本電信電話株式会社NTT情報流通プラットフォーム研究所 NTT Information Sharing Platform Laboratories, NTT Corporation |
| 第 4 著者 氏名(和/英) | 岩村 誠 / Makoto IWAMURA |
| 第 4 著者 所属(和/英) | 日本電信電話株式会社NTT情報流通プラットフォーム研究所 NTT Information Sharing Platform Laboratories, NTT Corporation |
| 発表年月日 | 2009-03-05 |
| 資料番号 | SITE2008-47,IA2008-70 |
| 巻番号(vol) | vol.108 |
| 号番号(no) | 460 |
| ページ範囲 | pp.- |
| ページ数 | 6 |
| 発行日 | |