講演抄録/キーワード |
講演名 |
2020-03-02 14:05
NXDOMAIN応答に着目したDGAを用いるボットの検知・遮断システムの実装と評価 ○井内裕貴(北大)・金 勇・一瀬 光(東工大)・飯田勝吉・高井昌彰(北大) SITE2019-89 IA2019-67 |
抄録 |
(和) |
昨今ボットによる被害が増大している。本研究ではDomain Generation Algorithm (DGA) 型ボットを対象とし、その感染の検知及び遮断を目的とする。そのため、当該ボットによるCommand & Control (C&C) サーバのDNS検索の特徴を利用する。すなわちDGA型ボットは、現在時刻やSNSトレンドなどをシードとした擬似乱数を用いて多数の識別困難なドメイン名を生成する。攻撃者は生成したドメイン名の一部をC&Cサーバのドメイン名として権威DNSに登録し、DNSで検索可能とする。C&Cサーバのドメイン名は攻撃者以外が予測することは困難であり、そのためDNS通信の観測のみでは不正通信の識別が困難である。この課題の解決策としてDGAの特徴「多数の未登録ドメイン名も生成されるため、ドメイン名の不在応答であるNXDOMAIN応答が送信される」に着目する。本研究ではボットの感染拡大時に発生するNXDOMAIN応答を分析し、それにより不正DNS通信の検知とその遮断を実現するシステムを設計、実装し、そして多数のDGAを用いた検証実験を行う。 |
(英) |
Recently, security attacks caused by a bot have been widely spreading. In this research, we aim to detect and block Domain Generation Algorithms (DGAs) based bots by focusing on special characteristics of DNS domain name resolutions for Command & Control (C&C) servers. The DGAs generate domain names using pseudo random functions with the seed of the current time of day, the trend keywords in SNS, etc. The attackers register a part of the generated domain names on the authoritative DNS server in order to make the bots find out the C&C server. The generated domain names are difficult to be estimated by other individuals than the attackers therefore the network administrators can hardly identify malicious DNS domain name resolutions. To deal with this issue, we focus on the characteristic of DGAs, namely NXDOMAIN responses were frequently received because many generated domain names have not been registered on the authoritative DNS server. In this paper, we design and implement a system to detect and block the malicious DNS domain name resolutions by analyzing the NXDOMAIN responses, which are received when the bots try to find out the C&C servers. By using the prototype system, we also evaluate its effectiveness with multiple DGAs. |
キーワード |
(和) |
ボット / ボットネット / DNS / DGA / NXDOMAIN / SDN / / |
(英) |
Bot / Botnet / DNS / DGA / NXDOMAIN / SDN / / |
文献情報 |
信学技報, vol. 119, no. 435, IA2019-67, pp. 7-12, 2020年3月. |
資料番号 |
IA2019-67 |
発行日 |
2020-02-24 (SITE, IA) |
ISSN |
Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
SITE2019-89 IA2019-67 |
研究会情報 |
研究会 |
IA SITE IPSJ-IOT |
開催期間 |
2020-03-02 - 2020-03-03 |
開催地(和) |
オンライン開催 |
開催地(英) |
Online |
テーマ(和) |
インターネットと情報倫理教育、一般 |
テーマ(英) |
Internet and Information Ethics Education, etc. |
講演論文情報の詳細 |
申込み研究会 |
IA |
会議コード |
2020-03-IA-SITE-IOT |
本文の言語 |
日本語 |
タイトル(和) |
NXDOMAIN応答に着目したDGAを用いるボットの検知・遮断システムの実装と評価 |
サブタイトル(和) |
|
タイトル(英) |
Implementation and Evaluation of Detection and Blocking System against DGA-based Bot by Focusing on NXDOMAIN Responses |
サブタイトル(英) |
|
キーワード(1)(和/英) |
ボット / Bot |
キーワード(2)(和/英) |
ボットネット / Botnet |
キーワード(3)(和/英) |
DNS / DNS |
キーワード(4)(和/英) |
DGA / DGA |
キーワード(5)(和/英) |
NXDOMAIN / NXDOMAIN |
キーワード(6)(和/英) |
SDN / SDN |
キーワード(7)(和/英) |
/ |
キーワード(8)(和/英) |
/ |
第1著者 氏名(和/英/ヨミ) |
井内 裕貴 / Yuki Iuchi / イウチ ユウキ |
第1著者 所属(和/英) |
北海道大学 (略称: 北大)
Hokkaido University (略称: Hokkaido Univ.) |
第2著者 氏名(和/英/ヨミ) |
金 勇 / Yong Jin / キン ユウ |
第2著者 所属(和/英) |
東京工業大学 (略称: 東工大)
Tokyo Institute of Technology (略称: Tokyo Tech) |
第3著者 氏名(和/英/ヨミ) |
一瀬 光 / Hikaru Ichise / イチセ ヒカル |
第3著者 所属(和/英) |
東京工業大学 (略称: 東工大)
Tokyo Institute of Technology (略称: Tokyo Tech) |
第4著者 氏名(和/英/ヨミ) |
飯田 勝吉 / Katsuyoshi Iida / イイダ カツヨシ |
第4著者 所属(和/英) |
北海道大学 (略称: 北大)
Hokkaido University (略称: Hokkaido Univ.) |
第5著者 氏名(和/英/ヨミ) |
高井 昌彰 / Yoshiaki Takai / タカイ ヨシアキ |
第5著者 所属(和/英) |
北海道大学 (略称: 北大)
Hokkaido University (略称: Hokkaido Univ.) |
第6著者 氏名(和/英/ヨミ) |
/ / |
第6著者 所属(和/英) |
(略称: )
(略称: ) |
第7著者 氏名(和/英/ヨミ) |
/ / |
第7著者 所属(和/英) |
(略称: )
(略称: ) |
第8著者 氏名(和/英/ヨミ) |
/ / |
第8著者 所属(和/英) |
(略称: )
(略称: ) |
第9著者 氏名(和/英/ヨミ) |
/ / |
第9著者 所属(和/英) |
(略称: )
(略称: ) |
第10著者 氏名(和/英/ヨミ) |
/ / |
第10著者 所属(和/英) |
(略称: )
(略称: ) |
第11著者 氏名(和/英/ヨミ) |
/ / |
第11著者 所属(和/英) |
(略称: )
(略称: ) |
第12著者 氏名(和/英/ヨミ) |
/ / |
第12著者 所属(和/英) |
(略称: )
(略称: ) |
第13著者 氏名(和/英/ヨミ) |
/ / |
第13著者 所属(和/英) |
(略称: )
(略称: ) |
第14著者 氏名(和/英/ヨミ) |
/ / |
第14著者 所属(和/英) |
(略称: )
(略称: ) |
第15著者 氏名(和/英/ヨミ) |
/ / |
第15著者 所属(和/英) |
(略称: )
(略称: ) |
第16著者 氏名(和/英/ヨミ) |
/ / |
第16著者 所属(和/英) |
(略称: )
(略称: ) |
第17著者 氏名(和/英/ヨミ) |
/ / |
第17著者 所属(和/英) |
(略称: )
(略称: ) |
第18著者 氏名(和/英/ヨミ) |
/ / |
第18著者 所属(和/英) |
(略称: )
(略称: ) |
第19著者 氏名(和/英/ヨミ) |
/ / |
第19著者 所属(和/英) |
(略称: )
(略称: ) |
第20著者 氏名(和/英/ヨミ) |
/ / |
第20著者 所属(和/英) |
(略称: )
(略称: ) |
講演者 |
第1著者 |
発表日時 |
2020-03-02 14:05:00 |
発表時間 |
25分 |
申込先研究会 |
IA |
資料番号 |
SITE2019-89, IA2019-67 |
巻番号(vol) |
vol.119 |
号番号(no) |
no.434(SITE), no.435(IA) |
ページ範囲 |
pp.7-12 |
ページ数 |
6 |
発行日 |
2020-02-24 (SITE, IA) |
|