マルウェア感染端末(以下感染端末と呼ぶ)による個人情報漏洩などの被害が深刻になっている.感染端末を検出する手法として,通信開始時のDNS クエリログを解析する手法が検討されている.しかし,ブラックリストに含まれる悪性ドメインへのDNS クエリを検出することによって感染端末を発見する既存の方法では,常に変化する悪性ドメインへのアクセスを検知することが困難である.本稿では,監視対象端末の DNS クエリログに対して,word2vec を適用してドメインの特徴ベクトルを求め,ブラックリストに含まれる既知悪性ドメインの特徴ベクトルとのコサイン類似度が大きいドメインを未知の悪性ドメインとして検出する手法を提案する.
