| 講演名 | 2015-03-03 複数のDNSトラフィック特徴量を用いた多様なボットネットに関与するドメイン検知システムの実装と評価(ネットワークベース検知・対策,通信セキュリティ,一般) 津田 航, 門林 雄基, 奥田 剛, 櫨山 寛章, |
|---|---|
| PDFダウンロードページ |  PDFダウンロードページへ |
| 抄録(和) | ネットバンキングを利用した不正送金,スパムメール,DDoSといったセキュリティインシデントが多発しており,これらの攻撃にはボットネットが大きく関係している.本研究では多くのボットネットが利用するDNS通信に着目し,DNS応答パケットの分析を行うDomain Forestシステムの実装と評価を行った.本システムは機械学習によってDNS通信の中からポットネットに関与の疑いがあるドメインの検出を行う.また,ボットネットの持つ周期性,類似性,一時性,同時性,冗長性,局所性といった特性に着目し,複数の特徴量と機械学習を使用する事で,特定のボットネットだけではなく,複数の種類のボットネットの検知を行う.本研究ではある学術機関のDNSにおいて観測した1ヶ月のDNS通信を分析し,検知率99.24%,誤検知率0.53%を達成した. |
| 抄録(英) | We face cyber attacks such as illegal money transfer via net-banking, spam mail and DDoS attacks caused by botnet. In this research, we propose a novel detection system called Domain Forest for detecting botnet-related domain names using traffic analysis. Domain Forest system aims to detect not only specific botnet, but also many variations of it. To accomplish this objective, we apply many kinds of features based on periodicity, similarity, simultaneity, rendundancy and locality from DNS response packet. We experimented with one month of real DNS traffic data, and our system achieved 99.24% detection rates and 0.53% false positive rates. |
| キーワード(和) | マルウェア / ボットネット / DNS / 機械学習 |
| キーワード(英) | malware / botnet / dns / machine learning |
| 資料番号 | ICSS2014-63 |
| 発行日 |
| 研究会情報 | |
| 研究会 | ICSS |
|---|---|
| 開催期間 | 2015/2/24(から1日開催) |
| 開催地(和) | |
| 開催地(英) | |
| テーマ(和) | |
| テーマ(英) | |
| 委員長氏名(和) | |
| 委員長氏名(英) | |
| 副委員長氏名(和) | |
| 副委員長氏名(英) | |
| 幹事氏名(和) | |
| 幹事氏名(英) | |
| 幹事補佐氏名(和) | |
| 幹事補佐氏名(英) | |
| 講演論文情報詳細 | |
| 申込み研究会 | Information and Communication System Security (ICSS) |
|---|---|
| 本文の言語 | JPN |
| タイトル(和) | 複数のDNSトラフィック特徴量を用いた多様なボットネットに関与するドメイン検知システムの実装と評価(ネットワークベース検知・対策,通信セキュリティ,一般) |
| サブタイトル(和) | |
| タイトル(英) | A detection system which uses DNS traffic features to detect domains which are related to botnets |
| サブタイトル(和) | |
| キーワード(1)(和/英) | マルウェア / malware |
| キーワード(2)(和/英) | ボットネット / botnet |
| キーワード(3)(和/英) | DNS / dns |
| キーワード(4)(和/英) | 機械学習 / machine learning |
| 第 1 著者 氏名(和/英) | 津田 航 / Wataru TSUDA |
| 第 1 著者 所属(和/英) | 奈良先端科学技術大学院大学情報科学研究科 Graduate School of Information Science, Nara Institute of Science and Technology |
| 第 2 著者 氏名(和/英) | 門林 雄基 / Youki KADOBAYASHI |
| 第 2 著者 所属(和/英) | 奈良先端科学技術大学院大学情報科学研究科 Graduate School of Information Science, Nara Institute of Science and Technology |
| 第 3 著者 氏名(和/英) | 奥田 剛 / Takeshi OKUDA |
| 第 3 著者 所属(和/英) | 奈良先端科学技術大学院大学情報科学研究科 Graduate School of Information Science, Nara Institute of Science and Technology |
| 第 4 著者 氏名(和/英) | 櫨山 寛章 / Hiroaki HAZEYAMA |
| 第 4 著者 所属(和/英) | 奈良先端科学技術大学院大学情報科学研究科 Graduate School of Information Science, Nara Institute of Science and Technology |
| 発表年月日 | 2015-03-03 |
| 資料番号 | ICSS2014-63 |
| 巻番号(vol) | vol.114 |
| 号番号(no) | 489 |
| ページ範囲 | pp.- |
| ページ数 | 6 |
| 発行日 | |