• 主题
高级搜索  >
历史搜索 清空历史
首页> 外文期刊>電子情報通信学会技術研究報告 >DNS クエリグラフを用いた悪性ドメイン名リスト評価
【24h】

DNS クエリグラフを用いた悪性ドメイン名リスト評価

机译:使用DNS查询图评估恶意域名列表

获取原文
获取原文并翻译 | 示例
       
页面导航
  • 摘要
  • 著录项
  • 相似文献
  • 相关主题

摘要

Botnet hosts, which can be controlled by malicious operators for executing DDoS attacks or spamming, have been one of the major concerns of Internet security. One of the promising approaches for detecting those hosts is monitoring DNS traffic and detecting botnet-infected hosts by using black domain names. However, black domain name lists obtained through these methods may have a problem in their accuracy in that they do not cover all domain names caused by botnets. In addition, they may contain domain names that are not involved with botnet activities. In this paper, we propose a method to improve the accuracy of a black domain name list by using a DNS query graph, which composed with nodes of hosts and domains edeges representing query-relationship. Intuitively, domain names resolved by hosts that resolve many black domain names are also expected to be black, and domain names resolved by many hosts that do not resolve any black domain names are expected to be white. Thus, the DNS query graph indicates to us which domain names might be black or white. We also propose approximating a graph kernel value with random walk sampling because calculating a graph kernel requires operation of adjacency matrices of graphs, which may be difficult for huge graphs. We experimentally applied the proposed method using a black domain name list and DNS traffic. The result shows that most of the white domains mislisted as black can be removed.%DDoS やスパム,フィッシングに用いられるポットネットはインターネット上の最も重要な脅威の一つとなっている.ポットネット検出の一手段として悪性ドメイン名リストに基づくDNS クエリ監視手法が挙げられる[1].この手法ではポットネット観測などによって得られる悪性ドメイン名リストに基づき,そのドメイン名の名前解決を行っているユーザをポットネット感染ホストとして特定する.しかしながら,そのような手法で取得された悪性ドメイン名リストはポットネットの全挙動を反映していない可能性がある.逆にいくつかのポットネットは接続性確認のために著名な検索サイトヘアクセスすることがあり,このような場合悪性ドメイン名リストに著名サイトが登録されてしまう問題がある.本稿では,悪性ドメイン名リストにおけるその精度に関する上記課題を,ドメイン名とそのドメイン名の名前解決を行うユーザの関係からなるグラフを用いて向上する手法を提案する.試験的に評価し,悪性ドメイン名リストに掲載されていないドメイン名でワーム感染ホストが特有に名前解決を行うドメイン名を抽出出来ることを確認した.
机译:僵尸网络主机一直是Internet安全的主要问题之一,僵尸网络主机可以由恶意运营商控制以执行DDoS攻击或垃圾邮件。检测这些主机的有前途的方法之一是监视DNS流量并使用黑色域名检测感染了僵尸网络的主机。但是,通过这些方法获得的黑色域名列表的准确性可能会出现问题,因为它们不能涵盖僵尸网络导致的所有域名。此外,它们可能包含与僵尸网络活动无关的域名。在本文中,我们提出了一种使用DNS查询图来提高黑色域名列表准确性的方法,该图由主机节点和代表查询关系的域版本组成。直观地,由解析许多黑色域名的主机解析的域名也应该是黑色的,而由许多不能解析任何黑色域名的主机解析的域名也应该是白色的。因此,DNS查询图向我们指示哪些域名可能是黑色或白色。我们还建议使用随机游走采样来近似图核值,因为计算图核需要对图的邻接矩阵进行操作,这对于大型图而言可能很困难。我们通过黑色域名列表和DNS流量在实验上应用了该方法。结果表明,大多数被误认为是黑色的白色域都可以删除。%DDoSづくインリリストに基づくDNSエクリ监视手法が挙げられる[1]。特定する。しかしながら,そのような手法で获得された悪性ドメイン名リストはポットネットの全挙动を反映していない以がある。ではイトヘアクセスすることがあり,このような场合悪性ドメイン名リストに著名サイトが登录されてしまう问题がある。解决を行うユーザの关系からなるグラフを用いて向上する手法を进行する抽出出来ることを确认した。

著录项

  • 来源
    《電子情報通信学会技術研究報告》 |2009年第460期|p.19-24|共6页
  • 作者

    石橋圭介; 豊野剛; 佐藤一道; 岩村誠;

  • 作者单位

    日本電信電話株式会社NTT情報流通プラットフォーム研究所 東京都武蔵野市緑町3-9-11;

    日本電信電話株式会社NTT情報流通プラットフォーム研究所 東京都武蔵野市緑町3-9-11;

    日本電信電話株式会社NTT情報流通プラットフォーム研究所 東京都武蔵野市緑町3-9-11;

    日本電信電話株式会社NTT情報流通プラットフォーム研究所 東京都武蔵野市緑町3-9-11;

  • 收录信息
  • 原文格式 PDF
  • 正文语种 jpn
  • 中图分类
  • 关键词

    DNS; botnet; グラフカーネル;

    机译:DNS;僵尸网络;图形内核;
  • 入库时间 2022-08-18 00:35:20

相似文献

  • 外文文献
  • 中文文献
  • 专利
获取原文

客服邮箱:kefu@zhangqiaokeyan.com

京公网安备:11010802029741号 ICP备案号:京ICP备15016152号-6 六维联合信息科技 (北京) 有限公司©版权所有

  • 客服微信

  • 服务号