複数の DNS トラフィック特徴量を用いた多様なボット ネットに与するドメイン検知システムの実装と評価
津田 航 (1351068)
ネットバンキングを利用した不正送金,スパムメール,分散サービス妨害攻撃と いったセキュリティインシデントが多発し,社会問題となっている.これらの攻撃 にはマルウェアに感染した端末やボットネットが大きく関係している.ボットネッ トによる被害の減少を目的とし,安全性が確保された環境下においてボット検体 を実行する事で挙動を確認する動的解析,検体のソースコードを調査する静的解 析,ボット検体によって発生する通信に着目したトラフィック解析といった研究が 行われている.トラフィック解析における既存研究では HTTP,HTTPS,FTP, SMTP,DNS といった特定のプロトコルを用いたボットネットの通信の特徴に着 目する事でボット検知を行ってきた.本研究では多くのボットネットが利用する DNS プロトコルを用いた通信に着目し,DNS 応答パケットの分析を行う Domain Forest システムの実装と評価を行った.Domain Forest システムは機械学習によっ て DNS プロトコルを用いた通信の中からボットネットに関与の疑いがあるドメイ ンの検出を行う.また,本システムではボットネットの持つ周期性,類似性,一時 性,同時性,冗長性,局所性といった特性に着目し,複数の特徴量と機械学習を使 用する事で特定のボットネットだけではなく,複数の種類のボットネットの検知を 行う.本研究では,ある学術機関の DNS において観測した 1 ヶ月の DNS 通信を 分析した結果,検知率 99.24\%,誤検知率 0.53\% を達成した.