DNSクエリの分析によるサーバと非サーバの識別

摘要

近年、DNSの通信を対象としたデータマイニングの研究が行われ、それによって有益な情報を得る研究が行われている。その中にはDNSを利用してサイバー攻撃を試みるマルウェアに対してDNSクエリを解析し検知を試みるものがある。そこで本研究ではDNS問い合わせからサーバと非サーバの識別を機械学習を用いて行うことが可能であるかを確認することを目的として、調査を行った。調査には筑波大学に設置されているフルサービスリゾルバへのDNS問い合わせのログを使用し、WEKAを用いた13種類の学習アルゴリズム毎の精度の結果の比較とC5.0を用いた教師データのデータ数の変化による精度の変化の調査を行った。分析の結果、本研究での識別において不向きなアルゴリズムはいくつかあるが、突出して精度の高いアルゴリズムは存在しなかった。また、調査に用いるクエリのデータを1時間分から2ケ月分まで大きくしていくと識別の精度が上がることがわかった。