[CB18] 使い捨てられた攻撃インフラの残骸の中からも攻撃者の痕跡を探る ― 動的・静的な DNS フォレンジックによる検知指標診断システム by 谷口剛 & 吉村邦彦

Copyright 2018 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED
使い捨てられた攻撃インフラの残骸の
中からも攻撃者の痕跡を探る
― 動的・静的な DNS フォレンジックによる検知指標
診断システム
0
CODE BLUE 2018
Track 2
（2018 年 11 月 2 日）
富士通システム統合研究所
FUJITSU SYSTEM INTEGRATION LABORATORIES LTD.
谷口剛吉村邦彦
Tsuyoshi TANIGUCHI Kunihiko YOSHIMURA

谷口剛 Tsuyoshi TANIGUCHI
 株式会社富士通システム統合研究所研究員、博士 (情報科学)
 2008 年 3 月北海道大学大学院情報科学研究科博士号 (情報科学)
コントラストセットに基づく相関マイニングに関する研究
統計的な仮説検証というよりは，発見科学的なアプローチ
頻度が高い (特徴的な) 関係よりは，頻度が低くても潜在的に有用な関係に注目
条件付けによる (局所における) 関係の違い (変化) が大きいもの
 2008 年 4 月～富士通株式会社
 2016 年 4 月～現職
 2017 年 11 月 CODE BLUE Day0 特別トラックサイバー犯罪対策トラック
サイバー脅威インテリジェンスに基づく検知指標学習とその応用
～大量の脅威情報から宝探し～
Copyright 2018 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED1

サイバー脅威インテリジェンスに基づく検知指標学習
概要
CTI データソース１
サブグループ 1 サブグループ 2 サブグループ i⋯
前処理
検知指標学習
検知指標 DB
CTI データソース２ CTI データソース３
2
※ CTI: Cyber Threat Intelligence

検知指標の重みづけ
 サブグループ間で IP アドレスとドメインを比較
 Contrast Set Mining [Bay et.al 2001]
 Emerging Patterns [Dong and Li 1999]
itemset A
サブグループ１サブグループ２
同定可能出現なし
IP，ドメイン
マルウェア，
キャンペーン
3

複数マルウェアで使い回される IP アドレス
 99% 以上：単独のサブグループ
 1% 未満: 複数のサブグループ
456 / 58048:
0.79%
4

• 悪性IP１
• 悪性IP２
• 悪性IP３
検知指標生存期間学習
 検知指標の選別：長期間利用と使い捨て
 検知指標：悪性 IP アドレス
• 悪性IP１
• 悪性IP２
• 悪性IP３
• 悪性IP１
• 悪性IP２
• 悪性IP３
• 悪性IP４
• 悪性IP１
• 悪性ドメイン２
• 悪性ドメイン３
• 悪性IP４
• 悪性IP５
定期更新されるブラックリスト
5

攻撃タイプに依存した生存期間分布
長寿命タイプ → ダウンローダ使い捨てタイプ → ボットネット，DGA 等
DNS 上の挙動とも一致することを確認
6

脅威情報はサイバー攻撃のスナップショット
2018 / 7 2018 / 8 2018 / 9
標的型攻撃α
悪性ドメインα-1
ボットネットβ 悪性ドメインβ-1
ブラック
リストα_July
悪性ドメインβ-1
に対する関連
A レコード群
ブラック
リストβ_July
悪性ドメインに対する A レコード (DNS 上の挙動)
悪性ドメインα-3 の
使用は終了
ブラック
リストα_August
１つの A レコードは継続使用
いくつかの A レコードが変化
ブラック
リストβ_August
 攻撃インフラの挙動は攻撃者の行動に依存 → 脅威情報は？
7

ドメイン悪性判別はブラックボックス
マルウェアが通信
したドメイン？
ホワイトリストに
含まれる？
maliciousbenign
YES
YES NO
NO
既存ブラックリスト
に含まれる？
malicious
YES
DNS 上の悪性判定
NO
YES NO
benignmalicious
決定木モデルに
よる判別の一例
Exposure [Bilge, Leyla, et al., 2011]
• 生存期間が短い
• TTL が短い
• 多数のドメインが IP を共有
• ドメインが多数の A レコードと対応
• 等
• 悪性ドメイン１
• 悪性ドメイン４
8

モチベーション：「説明可能な」検知指標へ
 悪性ドメインの挙動：長期，短期，変化，様々
 悪性判別の際に明らかになっているケースも
 悪性ドメイン挙動の復元と優先順位付けによるブラックリスト品質向上
• 悪性ドメイン１
• 悪性ドメイン４
① Fast-Flux タイプ ⇒ 追跡可能
② 短期活動タイプ ⇒ 脅威情報収集
③ 安定運用タイプ ⇒ 通常の運用
④ 使用停止 ⇒ 経過観察
9

本講演で扱う脅威情報
 悪性ドメインのリスト
 テキスト形式
 CSV 形式
 STIX 形式のサイバー脅威インテリジェンス (Cyber Threat Intelligence: CTI)
STIX: Structured Threat Information eXpression
CTI の世界的な標準で，XML (1.x 系) や json (2.x 系) で脅威情報を構造化して共有可能

検証項目 (仮説)
既知の悪性ドメインの挙動
攻撃者が DNS を使っていれば，痕跡が残る
痕跡のタイプは分類可能
挙動の予測をするための手掛かりも残されている

ケーススタディ (1/2)
type: pe, positives: 6+, sources: 5+,
first seen: from 21st May to 22nd May 2018
VirusTotal
400
Samples
Sandbox
(cuckoo)
Collect
Run
108
Domains
Detect
Filtering
White List
43
Malicious Domains
 新規検体が通信した悪性ドメインの検証
12

ケーススタディ (2/2)
2018 / 7 2018 / 8 2018 / 9
悪性ドメインCの活動期間
悪性ドメインAの活動期間
8/x: 共有
悪性ドメインBの活動期間
 標的型攻撃に関する CTI 共有前後における悪性ドメインの検証
継続使用
共有後に使用停止
共有前に既に使用停止
13

結論
 悪性ドメインは DNS 上の履歴を基に以下のように分類可能
 長期生存 or 短期消滅
 新規活動 or 以前から履歴あり
 悪性ドメインの挙動は攻撃者の行動に依存
 最近共有された脅威情報も確認が必要

講演内容
 検知指標診断システムの概要
 既知の悪性ドメインの何を診断するのか？
 静的な脅威分析： Passive DNS
 動的な脅威分析： Active DNS
 動的な DNS 監視と静的な DNS 監視の融合
 ケーススタディ
1. ウイルス検体から入手した悪性ドメイン診断
2. APT 攻撃に関するサイバー脅威インテリジェンスから入手した悪性ドメイン診断
3. 考察：検知指標診断システムの制限事項
 まとめ

既知の悪性ドメインの何を診断するのか？(1/2)
xxx.xxx.com
(既知の悪性ドメイン)
検知指標診断
システム
使い古し
Inactive
Status? (現状)
How long? (生存期間)
When? (いつから，鮮度)
Active
新鮮
長寿短命
or
or
or
16

既知の悪性ドメインの何を診断するのか？ (2/2)
現在過去
初出
初出
長寿 (Active)
初出が最近：
新鮮 (Active)
観察期間が短い：
短命 (Inactive)
初出が昔：
使い古し (Active)
 ドメインに対して A レコード (IP アドレス) が観察された期間と時期
初出鮮度
生存期間
17

アプローチ：動的・静的な DNS フォレンジック
DNS
ブラック
リスト
(CTI)
xxx.xxx.com
xxx.xxx.com
IN A a.a.a.a
現在未来過去
DNS サーバ
Passive DNS
動的：Active DNS
現状はどうか
静的：Passive DNS 今までどうだったか
これからどのような
挙動を示しそうか
クエリベースの痕跡
 DNS 上における既知の悪性ドメインの挙動の検証
18

Domain Name System (DNS)
ルート DNS
サーバ
TLD (top level domain) サーバ
.jp, .com, .org, .net
権威 DNS
サーバ１
権威 DNS
サーバ２
19

DNS における名前解決の流れ
ルート DNS
サーバ
.com
DNS サーバ
fujitsu.com
DNS サーバ
キャッシュ
サーバ
ユーザ
権威サーバ
fujitsu.com の IP アドレス？
80.70.173.142
fujitsu.com ？
fujitsu.com ？
fujitsu.com ？
.com の DNS
fujitsu.com の DNS
80.70.173.142
20

dig コマンドによるクエリの例：fujitsu.com
$ dig fujitsu.com
; <<>> DiG 9.10.3-P4-Ubuntu <<>> fujitsu.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16529
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;fujitsu.com. IN A
;; ANSWER SECTION:
fujitsu.com. 3600 IN A 80.70.173.142
;; Query time: 33 msec
;; SERVER: 127.0.1.1#53(127.0.1.1)
;; WHEN: Thu Oct 11 09:39:16 JST 2018
;; MSG SIZE rcvd: 56
fujitsu.com の A レコードは
80.70.173.142
dig コマンド
(Linux 系 OS)
21

Passive DNS: passive DNS
replication [Weimer, Florian, 2005]
DNS 応答パケットを監視し，収集
Active DNS と Passive DNS の概要
ルート DNS
サーバ
.com
DNS サーバ
fujitsu.com
DNS サーバ
キャッシュ
サーバ
ユーザ
権威サーバ
Active DNS: Thales [Kountouras,
Athanasios et al., 2016]
DNS クエリを送信し，データを能動的に収集
センサ
22

動的な DNS 監視と静的な DNS 監視の融合
キャッシュ
サーバ
ユーザ
権威サーバ
センサ
Passive DNSPassive DNS Analyzer
ブラック
リスト
ポイント①
既知の悪性ドメイン
を種とする
ポイント②
現時点の生存確認
ポイント③
DNS の履歴学習
23

融合による相乗効果
ブラックリスト
Passive DNSActive DNS
種悪性判定
DNS 現状 DNS 履歴
24

講演内容
 まとめ

引用：データソース
 Passive DNS
 DNSDB
 Farsight Security
 https://www.dnsdb.info/
 Active DNS (キャッシュ DNS)
 Google: Google Public DNS (8.8.8.8)
 Cloudflare: Global Authoritative DNS (1.1.1.1)
 ウイルス検体
 Virus Total
 https://www.virustotal.com/ja/
 サイバー脅威インテリジェンス (CTI)
 Open Threat Exchange
 Alien Vault
 https://www.alienvault.com/open-threat-exchange

 想定している状況
 新規ウイルス検体を分析中
 サンドボックスで動作させたら疑わしいドメインと通信
 ケーススタディの目的
1. 悪性ドメインの挙動の検証
2. DNS 上の痕跡の検証

マルウェアが通信した悪性ドメイン
type: pe, positives: 6+, sources: 5+,
first seen: from 21st May to 22nd May 2018
VirusTotal
400
Samples
Sandbox
(cuckoo)
Collect
Run
108
Domains
Detect
Filtering
White List
43
Malicious Domains
28

ホワイトリストによる正常ドメインの識別
 正常なサービスを利用している
ex. whatismyaddress.com, digicert.com など
 悪用しているが、ドメイン管理者がマルウェア作成者と無関係であること
が自明である
 Anti-Sandbox（ドメイン取得による外部導通確認）
ex. update.microsoft.com, www.yahoo.com など
 公共のチャンネルを使ってダウンロードやC2樹立
ex. twitter.com

キャッシュ
サーバ
センサ
悪性
ドメイン
5/21 – 5/22
1. 試行錯誤 (5/28)
30

試行錯誤： Active DNS
 ここまでは dig さえインストールすれば，簡単に実施可能
31

単数 A レコード dig 実行例 (出力の一部)
;auth-rambler.com. IN A
;; ANSWER SECTION:
auth-rambler.com. 599 IN A 185.212.128.37
A レコードが１つ
32

単数 A レコード: Active DNS の結果
ドメイン (URL) A レコード
codelux2017.ddns[.]net 187.115.234[.]242
skypeprocesshost.ddns.com[.]br 177.98.32[.]236
auth-rambler[.]com 185.212.128[.]37
bb[.]org 103.224.182[.]249
diaoge2010.tl-ip[.]net 121.41.39[.]145
lhy3944335.meibu[.]com 120.210.205[.]20
m3.vzv[.]me 35.229.81[.]255
numbers.3322[.]org 183.236.2[.]18
ukvlqwtmdlcmigp.floattenmidget[
.]ru
46.101.50[.]21
vopspyder[.]website 185.6.242[.]251
www.51wgl[.]com 47.104.163[.]38
xmr.f2pool[.]com 116.211.169[.]162
kiss.oatmealscene[.]loan 54.88.21[.]193
ma.owwwv[.]com 43.229.113[.]12
stiekehelp.gameassists.co[.]uk 78.24.213[.]153
tv.yaerwal[.]com 199.2.137[.]29
www.iuqerfsodp9ifjaposdfjhgosurijf
aewrwergwff[.]com
72.5.65[.]99
zinfandel.lacita[.]com 98.124.199[.]28
jlarga1b2c3d4.ddns[.]net 0.0.0[.]0
※塗りつぶしは A レコードが変化
33

複数 A レコード dig 実行例 (出力の一部)
;ic-dc.deliverydlcenter.com. IN A
;; ANSWER SECTION:
ic-dc.deliverydlcenter.com. 59 IN A 13.33.4.6
A レコードが複数
34

複数 A レコード: Active DNS の結果
imp.searchjff[.]com 52.200.52[.]112, 52.202.163[.]199
search.searchjff[.]com 50.19.242[.]110, 174.129.43[.]57
bounce2.pobox[.]com 64.147.108[.]74, 64.147.108[.]75
ic-dc.deliverydlcenter[.]com 13.33.4[.]170, 13.33.4[.]142, 13.33.4[.]6, 13.33.4[.]29
imp.yourpackagesnow[.]com 52.1.198[.]247, 52.4.240[.]94
ns1.wowservers[.]ru 221.120.220[.]72, 81.4.163[.]122, 190.35.242[.]126,
197.254.118[.]42ns2.wowservers[.]ru
trialcet[.]com 104.31.91[.]83, 104.31.90[.]83
www.iuqerfsodp9ifjaposdfjhgosu
rijfaewrwergwea[.]com
104.17.40[.]137, 104.17.39[.]137, 104.17.38[.]137,
104.17.37[.]137, 104.17.41[.]137
www.laichiji123[.]com 104.24.96[.]136, 104.24.97[.]136
www.shangizhiyan[.]com 104.28.2[.]77, 104.28.3[.]77
※塗りつぶしは A レコードが変化 35

CNAME dig 実行例 (出力の一部)
;lulukan.qyhxhnt.com. IN A
;; ANSWER SECTION:
lulukan.qyhxhnt.com. 599 IN CNAME
lulukan.qyhxhnt.com.a.bdydns.com.
lulukan.qyhxhnt.com.a.bdydns.com. 119 IN CNAME
opencdncloud.jomodns.com.
opencdncloud.jomodns.com. 59 IN A 101.69.175.35
CNAME
多段
CNAME
36

CNAME: Active DNS の結果
ドメイン (URL) (多段) CNAME A レコード
lulukan.qyhxhnt[.]com
• lulukan.qyhxhnt.com.a.bdydns[.]com
• opencdncloud.jomodns[.]com
101.69.175[.]35rjb.qyhxhnt[.]com
• rjb.qyhxhnt.com.a.bdydns[.]com
tongbu.erhaojie[.]com
• tongbu.erhaojie.com.a.bdydns[.]com
mininews.kpzip[.]com
• mininews.kpzip.com.cdn.dnsv1[.]com
• 897194.s2.cdntip[.]com
Flux タイプ
pc.mainmarketingswarm[.]c
om
swarm.wizzcloud[.]io
149.202.91[.]53
149.202.76[.]117
vip2.gutou[.]cc y.gutousoft[.]com 120.24.75[.]226
won.channeltest[.]bid d1g1b9l7554igi.cloudfront[.]net
13.33.4[.]214, 13.33.4[.]184,
13.33.4[.]47, 13.33.4[.]44
vtboss.yolox[.]net 22283.bodis[.]com 199.59.242[.]150
※塗りつぶしは A レコードが変化 37

No Answer dig 実行例 (出力の一部)
;; QUESTION SECTION:;carder.bit. IN A
(ANSWER SECTION なし)
38

No Answer: Active DNS の結果
carder[.]bit
No Answer
jss365sv.cat[.]jp
ransomware[.]bit
www.wap95516.com[.]cn
www4.cedesunjerinkas[.]com
39

キャッシュ
サーバ
センサ
悪性
ドメイン
5/21 – 5/22
2. DNS 上の痕跡？ (10/9)
40

診断項目：Active DNS 関連
診断項目診断結果
活動状況
Active
Inactive
A レコード変化
変化あり
変化なし
41

診断項目：Passive DNS 関連
診断項目診断結果
タイプ
多 IP
多ドメイン
1 ドメイン – 1 IP
生存期間
短命
長寿
鮮度
新鮮
安定運用中
使い古し
42

新規検体が通信した悪性ドメインの検証
現在過去
初出
初出
長寿 (Active)
初出が最近：
新鮮 (Active)
観察期間が短い：
短命 (Inactive)
初出が昔：
使い古し (Active)
 そもそもどのような挙動？DNS 上に痕跡は存在？
初出鮮度
生存期間
43

検知指標診断システムによる既知の悪性ドメイン診断
凡例
：単数 A レコード
：複数 A レコード
：CNAME
：No Answer
44

診断項目：鮮度
新鮮
使い古し安定運用中
2010 年 2018 年2016 年
関連する A レコード群の中の初見はいつか？
45

診断項目：生存期間
短命
(短期間)
長寿
3 年以上
数日～数十日
直近 A レコードの初見から最終観察までの期間
46

鮮度と生存期間の違い
2012 2013 2014 2015 2016 2017 2018
m3.vzv[.]me
tv.yaerwal[.]c
om
diaoge2010.tl
-ip[.]net
lhy3944335.
meibu[.]com
numbers.332
2[.]org
生存期間
生存期間
生存
期間
生
存
期
間
鮮度
鮮度鮮度
鮮
度
生
存
期
間
新規活動
47

講演内容
 まとめ

2. APT 攻撃に関する CTIから入手した悪性ドメイン診断
 想定している状況
 あるAPT 攻撃について調査
 少し前に共有されたオープンソースのサイバー脅威インテリジェンスを入手
 ケーススタディの目的
 共有前後の悪性ドメインの検証
 対象とした APT 攻撃
 PseudoGate
 Dark Hotel
※CTI: Cyber Threat Intelligence
49

2. APT 攻撃に関する CTIから入手した悪性ドメイン診断
2018 / 7 2018 / 8 2018 / 9
悪性ドメインCの活動期間
悪性ドメインAの活動期間
8/x: 共有
悪性ドメインBの活動期間
 標的型攻撃に関する CTI 共有前後における検知指標の検証
継続使用
共有後に使用停止
共有前に既に使用停止
50

PseudoGate (8/29 OTX Pulse)
• cna8a9[.]space
• eee6t087t9[.]website
• fritsy83[.]space
• fritsy83[.]website
• oo00mika84[.]website
診断対象ドメイン
51

共有直後の診断結果
2018 / 7 2018 / 8 2018 / 9
8/29: 共有
8/30:
診断
fritsy83[.] website: 31.31.196[.]163 (7/15 - 7/27)
oo00mika84[.]website:
31.31.196[.]163 (7/17 - 8/15)
fritsy83[.]space: 31.31.196[.]138 (7/17 - 7/21)
eee6t087t9[.]website:
31.31.196[.]138 (7/14 - )
cna8a9[.]space:
31.31.196[.]78 (8/2 - )
52

悪性ドメイン診断 (9/20)
cna8a9[.]space:
31.31.196[.]78 (8/2 - )
eee6t087t9[.]website:
31.31.196[.]138 (7/14 - )
oo00mika84[.]website:
31.31.196[.]163 (7/17 - 8/15)
fritsy83[.]space:
31.31.196[.]138
(7/17 - 7/21)
fritsy83[.] website:
31.31.196[.]163
(7/15 - 7/27)
2018/9/202018/7/15 2018/8/2
53

賞味期限予測 – 関連ドメイン分析
 31.31.196[.]78
 生存： 61% (1237/2016)
 使い捨て：23% (470/2016)
 生存の比率が高く，長期間予測
 cna8a9[.]space - (8/2 - )

 31.31.196[.]163
 生存： 7% (920/13401)
 使い捨て：77% (10328/13401)
 使い捨ての比率が高く，短期間予測
 fritsy83[.] website (7/15 - 7/27)
 oo00mika84[.]website (7/17 - 8/15)

DarkHotel (8/17 OTX Pulse)
• 779999977[.]com
• documentsafeinfo[.]com
• windows-updater[.]net
診断対象ドメイン
56

共有直後の診断結果
2018 / 2 2018 / 3 2018 / 4 2018 / 5 2018 / 6 2018 / 7 2018 / 8 2018 / 9
779999977[.]com: 188.241.58[.]60 (2/5 - )
documentsafeinfo[.]com: 111.90.149[.]131 (2/3 - )
8/17: 共有
windows-updater[.]net:
54.72.130[.]67 (8/1 -)
57

悪性ドメイン診断 (9/20)
2018/2/3
2012/3/8
2016/9/22
779999977[.]com:
188.241.58[.]60 (2/5 - )
documentsafeinfo[.]com:
111.90.149[.]131 (2/3 - )
windows-updater[.]net:
54.72.130[.]67 (8/1 - 9/10)
58

 54.72.130[.]67
 生存： 5% (32662/629744)
 使い捨て：62% (391692/629744)
 使い捨ての比率が高く，短期間予測
 windows-updater[.]net (8/1 - 9/10)
59

講演内容
 まとめ

キャッシュ DNS サーバのブロッキング
 DNS にクエリを出して，A レコードが返ってこなかった場合
 活動停止か，あるいはキャッシュ DNS によるブロッキングの可能性あり
キャッシュ
サーバ
A レコードなし
悪性
ドメイン
同じブラックリスト
を参照
61

CNAMEによる実運用ドメインの隠ぺい
 MAL_HIFRM
opencdncloud.jomodns[.]com
rjb.qyhxhnt.com.a.bdydns[.]com tongbu.erhaojie.com.a.bdydns[.]com
rjb.qyhxhnt[.]com tongbu.erhaojie[.]comlulukan.qyhxhnt[.]com
CNAME CNAMECNAME
CNAMECNAME
lulukan.qyhxhnt.com.a.bdydns[.]com
CNAME
フロントで活動しているドメイン群
実際に運用されている
ドメイン
62

休眠や切り替え
 休眠：前後に A レコード登録がある上で，A レコードの登録がない期間
 切り替え：数年以上登録していた A レコードを別の A レコードに変更
2012 2013 2014 2015 2016 2017 2018
tv.yaerwal[.]c
om
diaoge2010.tl
-ip[.]net
lhy3944335.
meibu[.]com
numbers.332
2[.]org
休眠
休眠
休眠休眠
切り替え
63

講演内容
 まとめ

検証項目 → 検証結果
攻撃者が DNS を使っていれば，痕跡が残る
 DNS に痕跡が残っているケース
 DNS に痕跡が残っていないケース
痕跡のタイプは分類可能
 生存期間：長期間と短期間
 鮮度：新鮮と使い古し
挙動の予測をするための手掛かりも残されている
 賞味期限予測：関連ドメインの分析により生存期間の傾向を把握

診断結果と所見
所見診断結果コメント
活動
終了
Inactive 検知指標は期限切れ，情報の再収集を強く勧める
新規
活動
Active，新鮮最近利用され始めたドメインの可能性，監視価値あり
安定
運用中
Active，変化なし，安
定運用中 or 使い古し
通常通りのブラックリスト運用を継続して問題ない
短期
活動
短期間
短期間で期限切れになる可能性，定期的な更新を推
奨
要監視
Active，変化あり，
多 IP
Fast-flux による運用が疑われ，関連ブラックリストと
正規の CDN サービスのホワイトリストの確認を推奨
66

まとめ
 ブラックリストの棚卸をしましょう
 dig コマンドを利用する (Active DNS) だけでも，入力したドメインの DNS 上の生存
確認が可能
 悪性ドメインの挙動によって適切な対応を取りましょう
 Passive DNS に基づくドメインの履歴により，既知の悪性ドメインの挙動を分類可能

引用：参考文献
 Passive DNS
 Weimer, Florian. "Passive DNS replication." FIRST conference on computer security incident. 2005.
 Bilge, Leyla, et al. "EXPOSURE: Finding Malicious Domains Using Passive DNS Analysis." Ndss. 2011.
 Active DNS
 Kountouras, Athanasios, et al. "Enabling network security through active DNS datasets." International
Symposium on Research in Attacks, Intrusions, and Defenses. Springer, Cham, 2016.
 van Rijswijk-Deij, Roland, et al. "A High-Performance, Scalable Infrastructure for Large-Scale Active
DNS Measurements." IEEE Journal on Selected Areas in Communications 34.6 (2016): 1877-1888.
 Contrast set mining
 Bay, Stephen D., and Michael J. Pazzani. "Detecting group differences: Mining contrast sets." Data
mining and knowledge discovery 5.3 (2001): 213-246.
 Dong, Guozhu, and Jinyan Li. "Efficient mining of emerging patterns: Discovering trends and
differences." Proceedings of the fifth ACM SIGKDD international conference on Knowledge discovery
and data mining. ACM, 1999.

[CB18] 使い捨てられた攻撃インフラの残骸の中からも攻撃者の痕跡を探る ― 動的・静的な DNS フォレンジックによる検知指標診断システム by 谷口剛 & 吉村邦彦

More Related Content

What's hot

Similar to [CB18] 使い捨てられた攻撃インフラの残骸の中からも攻撃者の痕跡を探る ― 動的・静的な DNS フォレンジックによる検知指標診断システム by 谷口剛 & 吉村邦彦

More from CODE BLUE

[CB18] 使い捨てられた攻撃インフラの残骸の中からも攻撃者の痕跡を探る ― 動的・静的な DNS フォレンジックによる検知指標診断システム by 谷口剛 & 吉村邦彦

Editor's Notes