DNSトラフィックに着目した C&Cドメイン検知手法の検討 福岡工業大学 情報工学部 情報工学科 種田研究室 比嘉久登 目次 はじめに ボット、ボットネットとは DNSトラフィックに着目したボット検出 検証実験 まとめ はじめに 近年ボット、ボットネットによる被害が増加している ボットは、亜種が出現するスピードが極めて早く、パ ターン・ファイルを作成してボットを検出することが 追い付いていないのが現状 パターン・ファイルに頼らず、DNSにクエリしたノー ドの数(次数)により、検知を行っている関連の研究 もある 本研究では、DNSトラフィックに着目し、次数による 検知手法にアクセス回数による検知を組み合わせるこ とで、C&Cドメインの誤検知を減少させることを目標 にしている ボット、ボットネットとは ボットとは、コンピュータを悪用することを目的 に作られたプログラムで、コンピュータに感染す ると、インターネットを通じて悪意を持った第三 者が、感染したコンピュータを外部から遠隔操作 することを目的として作成された悪性プログラム のことを指す ボットネットとは、ボットに感染したコンピュー タで構成されるネットワークのことを指す ボット、ボットネットとは ボットの全体像 ボットネット 攻撃者 指令サーバ 検知する 感染したコンピュータ群 DNSトラフィックに着目した C&Cドメイン検知 本研究では、DNSトラフィックに着目してC&Cド メインを検知する方法を検討する 手順として DNSトラフィックの収集 2. 得られたトラフィックから、ドメインの次数とア クセス回数を集計(重複するIPアドレスからの同 じドメインへのクエリは、次数1として数える) 3. 次数、アクセス回数の閾値を決定 4. 検知 1. DNSトラフィックの収集 Wiresharkを使用 キャプチャ環境 OS WindowsVista キャプチャ場所 福岡工業大学情報処理センター キャプチャ時間 7月24日18時~25日6時(12時間) ドメインの次数とアクセス回数 の集計 例えば :ノード :ドメイン 2回アクセス 2回アクセス 次数:3 アクセス回数:6 1回アクセス 次数:5 アクセス回数:10 Goog le.co. jp 1回アクセス 1回アクセス Yaho o.co.j p 3回アクセス 4回アクセス 2回アクセス 次数、アクセス回数の閾値を決 定 次数、アクセス回数ともに、誤検知率の一番低い 値を閾値とする。 誤検知率の計算 𝐹𝑃 𝐹𝑃𝑅 = 𝑇𝑁 + 𝐹𝑃 FPR:誤検知率 FP:間違って検知してしまった数 TN:ちゃんと正常なものを識別できた数 TN+FP:C&Cではないものの合計 次数、アクセス回数の閾値を決 定 検知率の計算 𝑇𝑃 𝐷𝑅 = 𝑇𝑃 + 𝐹𝑁 TP:正しく検出された数 FN:C&Cなのに検出できなかった数 TP+FN:すべてのC&Cの数 検証実験 福岡工業大学情報処理センターにて収集したDNS トラフィックデータにDAPPA Intrusion Detection Evaluation Data Setsの攻撃通信データを混ぜて検知 を行い、次数閾値ごとの結果を比べた DAPPA Intrusion Detection Evaluation Data Sets マサチューセッツ工科大学のLINCOLN研究所が作成し た侵入検知システム評価用データで侵入検知システム を評価する上で広く利用されている アクセス回数の閾値決定 閾値を上げると誤検知率は下がるが、検知率も下 がってしまう なので 比較的誤検知率が低く、検知率の高いものを選定 して比較を行った 今回は、アクセス回数を50に設定し、検証実験 を行った 従来手法と提案手法の比較 誤検知率 検知率 4 120 3.5 しかし 3 誤 2.5 検 知 率 2 ( % ) 1.5 100 80 下げることができた 提案手法 従来手法 検 知 率60 ( % ) 40 1 提案手法 従来手法 下がってしまった 20 0.5 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 次数(閾値) 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 次数(閾値) 考察 検知率が悪くなったことについて以下が原因と考 えられる キャプチャデータ データセット キャプチャ時間 12時間 3時間 ノード数 8246個 29個 ドメイン数 42543個 330個 数が違いすぎる なので キャプチャ時間、ノード数、ドメイン数をデータセットに合わせるといいのではないか まとめ 本研究では、DNSトラフィックを収集し、次数によ る検知とアクセス回数による検知を組み合わせて の検知を検討した。しかし、誤検知率は、下がっ たが検知率が下がってしまう結果になった。今 後、より良い組み合わせの検知法を検討していき たいと思う。 ご清聴ありがとうございました
© Copyright 2024 ExpyDoc
