権威DNSサーバのクエリログの可視化による攻撃の発見と分析

摘要

ポットなどからの攻撃は，その多くが攻撃対象ネットワークの探索から始まる．例えば，Spam送信の際にはその送信先を決定するためにMXレコードを問合せる．また，PTRレコードを用いてホストの存在を確認するホスト探索攻撃がある．これらの攻撃は攻撃対象ネットワーク内の権威DNSサーバに対して問合せをする．本研究では，権威DNSサーバのクエリログを用いてspam送信やホスト探索攻撃を検知することを目的とする．特定のレコードについて分析することは攻撃発見の手がかりとなる可能性がある．そこで，本論文ではこれらの攻撃を検知するための前段階として，MXレコードとPTRレコードに着目した分析をする．権威DNSサーバに対してMXレコードを問合わせた送信元IPアドレスと同時期のメールサーバに対するspamの送信元IPアドレスの上位16ビットについてヒルベルト曲線を用いて可視化し，比較した結果や，PTRレコードを問合わせたIPアドレスを集計し，問合せ数上位5件のIPアドレスについて分析した結果について報告する．