文献

J-GLOBAL ID：201702263796557729   整理番号：17A1913797

DNSキャッシュサーバログのグラフ分析による感染端末検知の検討

A Study of Detecting Infected Hosts by Graph Analysis of DNS Server Logs

著者 (4件)： 神谷和憲 (NTT セキュアプラットフォーム研) ,  長谷川彩子 (NTT セキュアプラットフォーム研) ,  関谷勇司 (東大 情報基盤セ) ,  岡田和也 (東大 情報基盤セ)
資料名： 電子情報通信学会技術研究報告  (IEICE Technical Report (Institute of Electronics, Information and Communication Engineers))
巻： 117  号： 316(ICSS2017 38-50)  ページ： 53-58  発行年： 2017年11月13日 
JST資料番号： S0532B  ISSN： 0913-5685  資料種別： 会議録 (C)
記事区分： 原著論文  発行国： 日本 (JPN)  言語： 日本語 (JA)

抄録/ポイント： サイバー攻撃は日々巧妙化しており,ウイルス対策ソフトでは検知できないマルウェアへの感染が問題となっている。感染端末を検知するためには,マルウェアの通信の痕跡であるネットワークログの分析が有効だが,一般的に実施されているブラックリストとのマッチングでは,攻撃者が通信先を変化させた場合に検知できない。そこで,本研究では,感染端末の成す悪性通信が,端末IPアドレスと通信先FQDNの2部グラフ上で,特異な役割を持つことを仮定し,グラフ特徴量の分析によって感染端末をアノマリ検知する技術を検討する。マルウェアの通信データから擬似的に生成したログおよび実網のDNSキャッシュサーバのログを使用した評価の結果,検討したグラフ特徴量を用いることで感染の可能性のある端末を抽出できることを確認した。(著者抄録)

シソーラス用語： *番地指定方式 ,  コンピュータ ,  分析 ,  *コンピュータウイルス ,  *解析 ,  部分グラフ ,  特徴抽出 ,  *端末装置 ,  IPアドレス ,  キャッシュサーバ ,  *ログ解析
準シソーラス用語： *DNS【インターネット】 ,  二部グラフ

分類 (1件)： データ保護  (JD01020V)

引用文献 (11件)：

• JPCERT,高度サイバー攻撃への対処におけるログの活用と分析方法,https://www.jpcert.or.jp/research/apt-loganalysis.html
• 石橋圭介,豊野剛,佐藤一道,岩村誠,′′DNSクエリグラフを用いた悪性ドメイン名リスト評価′′,IPSJ IOT 研究会(2009)
• K.Sato et al, ′′Extending Black Domain Name List by Using Co-occurrence Relation between DNS Queries′′, IEICE TRANSAC-TIONS on Communications Vol.E95-B No.3 pp.794-802(2012)
• F.Zou et al, ′′Detecting Malware Based on DNS Graph Min-ing′′, International Journal of Distributed Sensor Networks Vol-ume 2015 Article ID 102687 (2015)
• L.Akoglu et al, ′′OddBall: Spotting Anomalies in Weighted Graphs′′, The Pacific-Asia Conference on Knowledge Discovery and Data Mining (PAKDD), Hyderabad, India, June 2010.

タイトルに関連する用語 (4件)： DNS ,  グラフ ,  分析 ,  感染