文献

J-GLOBAL ID：201802282228697835   整理番号：18A0376264

DNS TXTレコードの利用状況分析とボットネット通信検出の検討

Analysis of DNS TXT Record Usage and Consideration of Botnet Communication Detection

著者 (3件)： ICHISE Hikaru (Technical Department, Tokyo Institute of Technology) ,  JIN Yong (Global Scientific Information and Computing Center, Tokyo Institute of Technology) ,  IIDA Katsuyoshi (Information Initiative Center, Hokkaido University)
資料名： IEICE Transactions on Communications (Web)  (IEICE Transactions on Communications (Web))
巻： E101.B  号： 1  ページ： 70-79(J-STAGE)  発行年： 2018年 
JST資料番号： U0467A  ISSN： 1745-1345  資料種別： 逐次刊行物 (A)
記事区分： 原著論文  発行国： 日本 (JPN)  言語： 英語 (EN)

抄録/ポイント： ボットに感染したコンピュータと,ドメインネームシステム(DNS)プロトコルを使用するコマンドおよび制御サーバー(C&Cサーバー)との間のボットネット通信が,多くのサイバー攻撃者によって使用されてきたという最近の報告がいくつかある。特に,DNS TXTレコードタイプに基づくボットネット通信が,いくつかの種類のボットネット攻撃で観察されている。残念ながら,DNS TXTレコードタイプには,ホスト名の記述のようなさまざまな正当な使用法がある。本稿では,DNS TXTレコードタイプに基づいてボットネット通信を検出してブロックするために,まずDNS TXTレコードタイプの正当な使用と疑わしい使用を区別し,キャンパスネットワークから取得した実際のDNS TXTクエリデータを分析する。組織から送信されたDNSクエリを,リゾルバ経由,間接的及び直接的アウトバウンドクエリーの3タイプに分割し,DNS TXTクエリデータを別々に分析する。リゾルバ経由DNS TXTクエリのために99日間のデータセットを使用し,間接的および直接的なアウトバウンドDNS TXTクエリには87日間のデータセットを使用する。分析の結果,リゾルバ経由,間接および直接アウトバウンド問合せの夫々におけるDNS TXT問合せの約30%,8%,および19%が疑わしいDNSトラフィックとして識別できることを示している。筆者らの分析に基づいて,包括的なボットネット検出システムを検討し,プロトタイプシステムを設計した。(翻訳著者抄録)

シソーラス用語： *番地指定方式 ,  状態 ,  *インターネット ,  *検出 ,  マルウェア ,  単位 ,  LAN【通信】 ,  レゾルバ ,  質問 ,  *ウイルス検出 ,  キャンパスネットワーク ,  *ボットネット
準シソーラス用語： *DNS【インターネット】 ,  クエリー ,  ボット ,  レコード【データ】 ,  利用状況

著者キーワード (5件)： botnet communication ,  DNS TXT record ,  via-resolver DNS query ,  direct outbound DNS query ,  and indirect outbound DNS query

分類 (2件)： データ保護  (JD01020V) ,  計算機網  (JC03000K)

引用文献 (36件)：

• [1] H. Ichise, Y. Jin, and K. Iida, “Analysis of via-resolver DNS TXT queries and detection possibility of botnet communications,” Proc. IEEE Pacific Rim Conference on Communications, Computers and Signal Processing (PACRIM2015), pp.216-221, Aug. 2015. DOI: 10.1109/PACRIM.2015.7334837 10.1109/PACRIM.2015.7334837
• [2] H. Ichise, Y. Jin, and K. Iida, “Analysis of via-resolver DNS TXT queries and detection possibility of botnet communications,” IEICE Commun. Express, vol.5, no.3, pp.74-78, March 2016. DOI: 10.1587/comex.2015XBL0186 10.1587/comex.2015XBL0186
• [3] Y. Jin, H. Ichise, and K. Iida, “Design of detecting botnet communication by monitoring direct outbound DNS queries,” Proc. IEEE Int'l Confrerence on Cyber Security and Cloud Computing (CSCloud2015), pp.37-41, New York, NY, Nov. 2015. DOI: 10.1109/CSCloud.2015.53 10.1109/CSCloud.2015.53
• [4] S. Khattak, N.R. Ramay, K.R. Khan, A.A. Syed, and S.A. Khayam, “A taxonomy of botnet behavior, detection, and defense,” IEEE Commun. Surveys & Tuts., vol.12, no.2, pp.898-924, Oct. 2013. DOI: 10.1109/SURV.2013.091213.00134 10.1109/SURV.2013.091213.00134
• [5] H. Binsalleeh, “Botnets: Analysis, detection, and mitigation,” Network Security Technologies: Design and Applications, ed. A. Amine, O.A. Mohamed, and B. Benatallah, pp.204-223, IGI Global, Hershey, PA, Nov. 2013. DOI: 10.4018/978-1-4666-4789-3.ch012 10.4018/978-1-4666-4789-3.ch012

タイトルに関連する用語 (6件)： DNS ,  TXT ,  レコード ,  利用状況 ,  分析 ,  ボットネット