Skip to main content
QUICK REVIEW

[論文レビュー] Detecting DNS Tunnels Using Character Frequency Analysis

Kenton Born, David A. Gustafson|arXiv (Cornell University)|Apr 25, 2010
Internet Traffic Analysis and Secure E-voting参考文献 9被引用数 69
ひとこと要約

この論文では、DNSクエリおよび応答ドメイン内の文字頻度パターンを分析することにより、DNSトンネルを検出する新しい手法を提案する。ユニグラム、ビグラム、トログラムの頻度を活用し、自然言語に類似した偏った分布を示す正常なトラフィックからのズレ(Zipfの法則からの逸脱)を観察することで、トンネル化されたデータに特徴的な均等な分布を持つ異常な文字頻度を特定し、複数のドメインにわたる高精度な検出を可能にする。

ABSTRACT

High-bandwidth covert channels pose significant risks to sensitive and proprietary information inside company networks. Domain Name System (DNS) tunnels provide a means to covertly infiltrate and exfiltrate large amounts of information passed network boundaries. This paper explores the possibility of detecting DNS tunnels by analyzing the unigram, bigram, and trigram character frequencies of domains in DNS queries and responses. It is empirically shown how domains follow Zipf's law in a similar pattern to natural languages, whereas tunneled traffic has more evenly distributed character frequencies. This approach allows tunnels to be detected across multiple domains, whereas previous methods typically concentrate on monitoring point to point systems. Anomalies are quickly discovered when tunneled traffic is compared to the character frequency fingerprint of legitimate domain traffic.

研究の動機と目的

  • DNSトンネルを用いた高帯域幅のコvertチャネルがネットワーク防御を回避するという脅威の増大に対処すること。
  • 点対点検出手法の限界を克服し、トンネルトラフィックを複数ドメインに跨いで検出できるようにすること。
  • 自然言語のパターンから逸脱する統計的異常をDNSドメイン名で特定し、潜在的なデータ漏洩を示唆すること。
  • ドメイン名の言語的特徴に基づいた信頼性が高くスケーラブルな検出メカニズムを確立すること。
  • トンネル化されたトラフィックにおける文字頻度分布が、正当なDNSトラフィックと顕著に異なることを実証すること。

提案手法

  • DNSクエリおよび応答ドメイン内のユニグラム、ビグラム、トログラムの文字頻度を分析する。
  • 実証的に、正当なドメインはZipfの法則に従い、自然言語に類似した偏った頻度分布を示すことを示す。
  • DNSトラフィックにおける観測された文字頻度分布を、正当なドメイントラフィックから導出されたベースラインファンプリントと比較する。
  • DNSドメイン内の文字頻度がより均等に分布する場合に異常を特定し、これはエンコード済みまたはトンネル化されたデータの特徴である。
  • 期待される言語的パターンからの統計的逸脱を、潜在的なDNSトンネリングの検出シグナルとして用いる。
  • 特定のトンネリングプロトコルや設定を事前に知らなくても、複数ドメインに跨ってトンネリング活動を検出できるようにこの手法を適用する。

実験結果

リサーチクエスチョン

  • RQ1DNSドメイン名における文字頻度パターンは、正当なトラフィックとトンネル化されたトラフィックを信頼性高く区別できるか?
  • RQ2DNSトンネルは、自然言語ドメインのそれとは顕著に異なる文字頻度分布を生成するか?
  • RQ3Zipfの法則に基づく統計モデルは、事前の設定なしに複数ドメインに跨ってDNSトンネリングを検出できるか?
  • RQ4点対点監視手法と比較して、文字頻度分析はコvertチャネルの同定にどの程度効果的か?
  • RQ5トンネル化されたトラフィックと正当なDNSトラフィックにおける文字頻度分布の均等性の度合いはいかほどか?

主な発見

  • 正当なDNSドメインは、文字頻度分布がZipfの法則に非常に近いことを示し、言語的パターンに類似している。
  • トンネル化されたトラフィックは、自然言語の期待される偏った分布とは顕著に異なる均等な文字頻度分布を示す。
  • この手法は、点対点検出システムの限界を克服し、複数ドメインに跨ってDNSトンネリングを効果的に検出できる。
  • 正当なトラフィックのベースラインファングプリントと比較することで、文字頻度の異常を迅速に特定でき、リアルタイム検出が可能になる。
  • ランダムに見えるドメイン名を使用するトンネリングプロトコルであっても、言語の統計的特性を活用することで高い検出精度を達成できる。
  • データエンコードが均等な文字分布をもたらす限り、この手法はさまざまなトンネリング技術の変化に強く、耐性がある。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。