1 / 16

DNS トラフィックに着目した C&C ドメイン検知手法の検討

DNS トラフィックに着目した C&C ドメイン検知手法の検討. 福岡工業大学 情報工学部 情報工 学科 種田研究室 比嘉久登. 目次. はじめに ボット 、 ボットネットとは DNSトラフィックに着目したボット検出 検証実験 まとめ. はじめに. 近年ボット、ボットネットによる被害が増加している ボットは、亜種が出現するスピードが極めて早く、パターン・ファイルを作成してボットを検出することが追い付いていないのが現状 パターン・ファイルに頼らず、 DNS にクエリしたノードの数(次数)により、検知を行っている関連の研究も ある

lottie
Download Presentation

DNS トラフィックに着目した C&C ドメイン検知手法の検討

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. DNSトラフィックに着目したC&Cドメイン検知手法の検討DNSトラフィックに着目したC&Cドメイン検知手法の検討 • 福岡工業大学 • 情報工学部 • 情報工学科 • 種田研究室 • 比嘉久登

  2. 目次 • はじめに • ボット、ボットネットとは • DNSトラフィックに着目したボット検出 • 検証実験 • まとめ

  3. はじめに • 近年ボット、ボットネットによる被害が増加している • ボットは、亜種が出現するスピードが極めて早く、パターン・ファイルを作成してボットを検出することが追い付いていないのが現状 • パターン・ファイルに頼らず、DNSにクエリしたノードの数(次数)により、検知を行っている関連の研究もある • 本研究では、DNSトラフィックに着目し、次数による検知手法にアクセス回数による検知を組み合わせることで、C&Cドメインの誤検知を減少させることを目標にしている

  4. ボット、ボットネットとは • ボットとは、コンピュータを悪用することを目的に作られたプログラムで、コンピュータに感染すると、インターネットを通じて悪意を持った第三者が、感染したコンピュータを外部から遠隔操作することを目的として作成された悪性プログラムのことを指す • ボットネットとは、ボットに感染したコンピュータで構成されるネットワークのことを指す

  5. ボット、ボットネットとは • ボットの全体像 ボットネット 攻撃者 指令サーバ 検知する 感染したコンピュータ群

  6. DNSトラフィックに着目した  C&Cドメイン検知DNSトラフィックに着目した  C&Cドメイン検知 • 本研究では、DNSトラフィックに着目してC&Cドメインを検知する方法を検討する • 手順として • DNSトラフィックの収集 • 得られたトラフィックから、ドメインの次数とアクセス回数を集計(重複するIPアドレスからの同じドメインへのクエリは、次数1として数える) • 次数、アクセス回数の閾値を決定 • 検知

  7. DNSトラフィックの収集 • Wiresharkを使用 • キャプチャ環境

  8. ドメインの次数とアクセス回数の集計 例えば :ノード :ドメイン 2回アクセス 2回アクセス 1回アクセス 1回アクセス 次数:5 アクセス回数:10 次数:3 アクセス回数:6 Google.co.jp Yahoo.co.jp 1回アクセス 3回アクセス 4回アクセス 2回アクセス

  9. 次数、アクセス回数の閾値を決定 • 次数、アクセス回数ともに、誤検知率の一番低い値を閾値とする。 • 誤検知率の計算 FPR:誤検知率 FP:間違って検知してしまった数 TN:ちゃんと正常なものを識別できた数 TN+FP:C&Cではないものの合計

  10. 次数、アクセス回数の閾値を決定 • 検知率の計算 TP:正しく検出された数 FN:C&Cなのに検出できなかった数 TP+FN:すべてのC&Cの数

  11. 検証実験 • 福岡工業大学情報処理センターにて収集したDNSトラフィックデータにDAPPA Intrusion Detection Evaluation Data Setsの攻撃通信データを混ぜて検知を行い、次数閾値ごとの結果を比べた • DAPPA Intrusion Detection Evaluation Data Sets マサチューセッツ工科大学のLINCOLN研究所が作成した侵入検知システム評価用データで侵入検知システムを評価する上で広く利用されている

  12. アクセス回数の閾値決定 • 閾値を上げると誤検知率は下がるが、検知率も下がってしまう なので • 比較的誤検知率が低く、検知率の高いものを選定して比較を行った • 今回は、アクセス回数を50に設定し、検証実験を行った

  13. 従来手法と提案手法の比較 誤検知率 検知率 しかし 下げることができた 下がってしまった

  14. 考察 • 検知率が悪くなったことについて以下が原因と考えられる 数が違いすぎる なので • キャプチャ時間、ノード数、ドメイン数をデータセットに合わせるといいのではないか

  15. まとめ 本研究では、DNSトラフィックを収集し、次数による検知とアクセス回数による検知を組み合わせての検知を検討した。しかし、誤検知率は、下がったが検知率が下がってしまう結果になった。今後、より良い組み合わせの検知法を検討していきたいと思う。

  16. ご清聴ありがとうございました

More Related