同一ドメインの問い合わせに着目したボットネット検出のためのDNSトラヒック解析

抄録

　近年、ネットワークを利用した脅威の中で、多数のホストが連携したボットネットによる攻撃が問題視されている。ボットネットは金銭目的で使われる組織化された攻撃プラットフォームであるため、この検知は重要課題となっている。
　我々はボットネットの早期検知を目標とし、本研究ではDNSトラヒックを用いて、複数の始点が同一のドメインに関する情報の問い合わせを行うパケットのうち、その応答パケットを抽出する。そして、その問い合わせ対象のドメイン名を用いて提供しているサービスの悪性について調査する。悪性については、既存の、動的アクセスに基づく悪性サイト判定システムと連携し、評価を行う。