抄録
本研究では,DNS (Domain Name System)のクエリ回答結果から作成したドメイン名・IPアドレスをノードとする2部グラフ(DNSグラフ)を用いて,グラフ内に存在する未知の悪性ノードを検出する手法を提案する.キーとなるアイディアは,事前に与えられた良性・悪性ドメインを含むグラフコンポーネントにおいて脅威確率伝搬(Probabilistic Threat Propagation)を用いることで,良性・悪性ノードに「近い」ノードをそれぞれ良性・悪性と推定する点にある.大規模バックボーンネットワークで得られたDNSクエリデータを用いたDNSグラフでは全ノードの約69%が1つの部分グラフ (コンポーネント)から構成されることがわかった.また,このDNSグラフに提案手法を適用したところ,低い誤分類率で悪性なドメインを検出でき,オリジナルの脅威確率伝搬手法と比較して9%,既存の他の手法と比較して40%の精度向上を実現した.さらに,DNSグラフ上の未知のノードを提案手法で推定したところ,危険性の高い未知なドメインを新たに2,170個検出することができ,DNSグラフを可視化することで推定した悪性なノードが関わるグラフ構造を明らかにした.
