講演抄録/キーワード |
講演名 |
2019-03-05 11:50
機械学習を用いたDNSクエリ/応答のログ解析による悪性端末検出手法の提案 ○仲宗根一成・北口善明・山岡克式(東工大) IN2018-129 |
抄録 |
(和) |
ネットワーク内のマルウェア感染端末検出には,ブラックリストに基づくシグニチャ型の検出手法が一般的である.しかしマルウェア多様化のため,近い将来この手法では未知マルウェア検出が困難になると推測される.そこで本稿では未知マルウェア検出を目指し,機械学習を用いたアノマリ型の検出手法を提案する.DNSクエリ/応答のログ情報から抽出した特徴ベクトルの時系列データを,RNNを用いて分散表現に変換し,そのクラスタ分析を行なった.実験により,送信元IPアドレスの挙動が2クラスに分類され,少数側のクラスタがいずれも特異的なクエリ送信をしていることを確認した. |
(英) |
One common way for detecting malware devices in a network is to use a blacklist based on signature detection.However, in the near future, this detection method will become difficult because of the variety of malwares.In this paper, we propose the method of detecting malicious devices by using machine learning to identify unknown malware.We extract the time series data of feature vectors from logs of DNS query/response, then we transform them into distributed representation by using Recurrent neural network (RNN). We also performed the cluster analysis to explore their relation.The experiment shows that the behavior of the source IP address is classified into two classes; moreover, the some minority clusters transmit to the specific queries. |
キーワード |
(和) |
機械学習 / 異常検出 / DNS / マルウェア / / / / |
(英) |
machine learning / anomaly detection / DNS / malware / / / / |
文献情報 |
信学技報, vol. 118, no. 466, IN2018-129, pp. 271-276, 2019年3月. |
資料番号 |
IN2018-129 |
発行日 |
2019-02-25 (IN) |
ISSN |
Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
IN2018-129 |