| 講演名 | 2009-03-05 Entropy Study on A Resource Record DNS Query Traffic from the Campus Network , |
|---|---|
| PDFダウンロードページ |  PDFダウンロードページへ |
| 抄録(和) | 侵入遮断・検知システムにおいて、誤検知は完全にはなくすことができない。つまり、シグネチャマッチングにほんの少しの誤りが含まれていても、システム自身の検知率に関する性能の劣化はほとんど無い。ところが、この許容できる誤りを許すことで、シグネチャマッチングの速度に関する性能を大幅に引き上げられる可能性がある。本論文では、誤りの発生を許容する代わりに文字列探索を高速に行う手法を提案する。厳密な探索ではないが処理が高速なアルゴリズムを多重化させて、誤りを運用上許容できる程度にまで減らす。この手法を用いることで、IDSのシグネチャマッチングを高速化できる。 |
| 抄録(英) | We investigated the source IP address (SIP)- and query keyword (QK)- based entropy changes in the A and PTR resource records (RRs) based DNS query traffic between the DNS clients and the campus DNS server through January 1st to December 31st, 2008. The results are: (1) The both entropies simultaneously decrease when the targeted attack activity is high. (2) The SIP-based entropy increases while the QK-based one decreases, simultaneously, when the random attack activity is high. (3) The SIP-based entropy decreases while the QK-based one increases, at the same time, when the host search activity is high. Therefore, we can get important information for the security incidents by only observing the DNS query traffic. |
| キーワード(和) | |
| キーワード(英) | |
| 資料番号 | SITE2008-61,IA2008-84 |
| 発行日 |
| 研究会情報 | |
| 研究会 | IA |
|---|---|
| 開催期間 | 2009/2/26(から1日開催) |
| 開催地(和) | |
| 開催地(英) | |
| テーマ(和) | |
| テーマ(英) | |
| 委員長氏名(和) | |
| 委員長氏名(英) | |
| 副委員長氏名(和) | |
| 副委員長氏名(英) | |
| 幹事氏名(和) | |
| 幹事氏名(英) | |
| 幹事補佐氏名(和) | |
| 幹事補佐氏名(英) | |
| 講演論文情報詳細 | |
| 申込み研究会 | Internet Architecture(IA) |
|---|---|
| 本文の言語 | ENG |
| タイトル(和) | |
| サブタイトル(和) | |
| タイトル(英) | Entropy Study on A Resource Record DNS Query Traffic from the Campus Network |
| サブタイトル(和) | |
| キーワード(1)(和/英) | |
| 第 1 著者 氏名(和/英) | / KAZUYA TAKEMORI |
| 第 1 著者 所属(和/英) | Faculty of Engineering, Kumamoto University |
| 発表年月日 | 2009-03-05 |
| 資料番号 | SITE2008-61,IA2008-84 |
| 巻番号(vol) | vol.108 |
| 号番号(no) | 460 |
| ページ範囲 | pp.- |
| ページ数 | 6 |
| 発行日 | |