文献

J-GLOBAL ID：202002217131004135   整理番号：20A1230858

適応型ボットネット通信遮断を考慮したNSレコード履歴ベースの異常DNSトラフィック検出

NS record History Based Abnormal DNS traffic Detection Considering Adaptive Botnet Communication Blocking

著者 (5件)： Ichise Hikaru (Graduate School of Information Science and Technology, Hokkaido University) ,  Ichise Hikaru (Technical Department, Tokyo Institute of Technology) ,  Jin Yong (Global Scientific Information and Computing Center, Tokyo Institute of Technology) ,  Iida Katsuyoshi (Information Initiative Center, Hokkaido University) ,  Takai Yoshiaki (Information Initiative Center, Hokkaido University)
資料名： Journal of Information Processing (Web)  (Journal of Information Processing (Web))
巻： 28  ページ： 112-122(J-STAGE)  発行年： 2020年 
JST資料番号： U0109A  ISSN： 1882-6652  資料種別： 逐次刊行物 (A)
記事区分： 原著論文  発行国： 日本 (JPN)  言語： 英語 (EN)

抄録/ポイント： DNS(ドメインネームシステム)ベースの名前解決は,インターネットユーザとインターネットサービスプロバイダの両方にとって最も基本的なインターネットサービスの1つである。通常のDNSベースの名前解決プロセスでは,信頼できるDNSサーバにDNSクエリを送信する前に,対応するNS(ネームサーバ)レコードが必要である。しかし,近年,ボットネット関連のネットワークトラフィックがDNSクエリと応答を介して転送されるDNSベースのボットネット通信が観測されている。特に,ある種のマルウェアでは,対応するNSレコードを事前に取得することなく,IPアドレスを直接使用してC&CサーバにDNSクエリを送信することが観測されている。本論文では,筆者らは,イントラネット内のNSレコード履歴を解析することによって,異常なDNSトラフィックを検出し遮断する新しいメカニズムを提案した。提案されたメカニズムでは,イントラネットのすべてのDNSトラフィックを捕捉し解析し,正当なNSレコードとそれに対応するグルーAレコード(ネームサーバのIPアドレス)を抽出し,ホワイトリストデータベースに格納する。次に,全ての発信DNSクエリをチェックし,ホワイトリストに含まれていないIPアドレスに向けられたクエリを異常なDNSトラフィックとして遮断する。筆者らはプロトタイプシステムを実装し,SDNベースお実験ネットワークにおいて機能を評価した。その結果,プロトタイプシステムは期待通りに機能することが示され,提案メカニズムは,特定のタイプの異常なDNSベースのボットネット通信を検出し遮断できると考える。(翻訳著者抄録)

シソーラス用語： *インターネット ,  *単位 ,  経歴 ,  *検出 ,  *番地指定方式 ,  計算機システム ,  通信路容量 ,  プロトタイプ
準シソーラス用語： *DNS【インターネット】 ,  DNSサーバ ,  ネットワークトラフィック ,  *ボットネット ,  *レコード【データ】 ,  *異常トラヒック検出 ,  履歴 ,  グルーレコード ,  IPアドレス

著者キーワード (6件)： ボットネット通信 ,  DNS ,  NS記録 ,  接着剤の記録 ,  直接アウトバウンド問合せ ,  NS履歴データベース

分類 (2件)： 計算機網  (JC03000K) ,  データ保護  (JD01020V)

引用文献 (34件)：

• [1] Ichise, H., Jin, Y., Iida, K. and Takai, Y.: Detection and Blocking of Anomaly DNS Traffic by Analyzing Achieved NS Record History, <i>Proc. Asia-Pasific Signal and Information Processing Association, Annual Summit and Conference 2018</i> (<i>APSIPA-ASC2018</i>), pp.1586-1590 (2018) (online), available from <http://www.apsipa.org/proceedings/2018/pdfs/0001586.pdf>.
• [2] Li, S., Jin, Y. and Iida, K.: Detection and Control of DNS-based Botnet Communications by using SDN-Ryu Solution, IEICE Technical Report, Vol.115, No.482, pp.73-78 (2016).
• [3] Ichise, H., Jin, Y. and Iida, K.: Design and Implementation of NS Record History Database for Detecting DNS-based Botnet Communication, IEICE Technical Report, Vol.117, No.299, pp.7-11 (2017).
• [4] Khattak, S., Ramay, N.R., Khan, K.R., Syed, A.A. and Khayam, S.A.: A Taxonomy of Botnet Behavior, Detection, and Defense, <i>IEEE Commun. Surveys & Tutorials</i>, Vol.12, No.2, pp.898-924 (online), DOI: 10.1109/SURV.2013.091213.00134 (2013).
• [5] Amine, A., Mohamed, O.A. and Benatallah, B. (Eds.): Network Security Technologies: Design and Applications, Binsalleeh, H.: Botnets: Analysis, Detection, and Mitigation, pp.204-223, IGI Global (online), DOI: 10.4018/978-1-4666-4789-3.ch012 (2013).

タイトルに関連する用語 (6件)： ボットネット ,  遮断 ,  レコード ,  履歴 ,  DNS ,  トラフィック