| Item type |
Journal(1) |
| 公開日 |
2015-03-15 |
| タイトル |
|
|
タイトル |
DNSアンプ攻撃の事前対策へ向けたDNSハニーポットとダークネットの相関分析 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Correlation Analysis between DNS Honeypot and Darknet toward Proactive Countermeasures against DNS Amplification Attacks |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
[特集:学生・若手研究者論文(特選論文)] サイバーセキュリティ,DNSアンプ攻撃,DNSハニーポット,ダークネット観測,DDoS攻撃対策 |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_6501 |
|
資源タイプ |
journal article |
| 著者所属 |
|
|
|
横浜国立大学/独立行政法人情報通信研究機構 |
| 著者所属 |
|
|
|
横浜国立大学 |
| 著者所属 |
|
|
|
横浜国立大学 |
| 著者所属 |
|
|
|
独立行政法人情報通信研究機構 |
| 著者所属 |
|
|
|
株式会社クルウィット |
| 著者所属 |
|
|
|
独立行政法人情報通信研究機構 |
| 著者所属(英) |
|
|
|
en |
|
|
Yokohama National University / National Institute of Information and Communications Technology |
| 著者所属(英) |
|
|
|
en |
|
|
Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
National Institute of Information and Communications Technology |
| 著者所属(英) |
|
|
|
en |
|
|
clwit, Inc. |
| 著者所属(英) |
|
|
|
en |
|
|
National Institute of Information and Communications Technology |
| 著者名 |
牧田, 大佑
吉岡, 克成
松本, 勉
中里, 純二
島村, 隼平
井上, 大介
|
| 著者名(英) |
Daisuke, Makita
Katsunari, Yoshioka
Tsutomu, Matsumoto
Junji, Nakazato
Jumpei, Shimamura
Daisuke, Inoue
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
近年,DNSアンプ攻撃による被害が深刻化しており,早急な対策が求められている.我々は,DNSアンプ攻撃を観測する手法としてDNSハニーポットを提案し,DNSアンプ攻撃の観測・分析を行っている.DNSアンプ攻撃では通信を増幅するためにインターネット上のオープンリゾルバが用いられるため,攻撃者は広範囲なスキャンによりオープンリゾルバを探索することが予想される.しかし,DNSハニーポットは,DNSサーバとして動作するための運用コストが高く,大規模な観測に不向きであるため,攻撃者によるスキャン活動の全体的な傾向を把握することが困難である.本論文では,DNSハニーポットが観測したDNSアンプ攻撃と,広範囲のアドレス空間を監視するダークネットセンサが観測したスキャン活動を突合し,その相関を分析する.分析の結果,分析対象期間内にDNSハニーポットで観測された33個の攻撃用ドメイン名のうち87%にあたる29個のドメイン名は,攻撃と同一のドメイン名を用いたスキャン活動がダークネットセンサでも観測され,そのうち22個のドメイン名は,DNSアンプ攻撃が観測される1日以上前に,同様のスキャン活動がダークネットセンサでも観測された.本分析結果は,スキャン情報を用いたDNSアンプ攻撃の早期対策技術への応用に期待できる. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
In recent years, problems posed by DNS amplification attacks have become serious and there is a compelling need for effective countermeasures. We have proposed DNS honeypot, a method for observing DNS amplification attacks, and have been conducting the observation and analysis of DNS amplification attacks. In order to conduct DNS amplification attacks, attackers need to know where open resolvers are and therefore it is expected that they conduct network scans for finding open resolvers before conducting amplification attacks. However, since a DNS honeypot requires operational costs to work as a DNS server and it is unfit for large-scale monitoring, it is difficult to grasp the trends of scans for open resolvers by DNS honeypots. In this paper, we compare the DNS amplification attacks that DNS honeypot observed with the scans that darknet sensor observed, and analyze the correlation between them. As a result, out of 33 domain names used for DNS amplification attacks that DNS honeypots observed during the analysis period, 29 domain names (87%) were used for scans that darknet sensor observed, and 22 domain names out of them were observed by darknet sensor one or more days before the actual attacks occurred. From this result, it can be expected to develop proactive countermeasures against DNS amplification attacks using scan information. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AN00116647 |
| 書誌情報 |
情報処理学会論文誌
巻 56,
号 3,
p. 921-931,
発行日 2015-03-15
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
1882-7764 |
IPSJ-JNL5603023.pdf (3.2 MB)
