サイバー攻撃の高度化に伴い，おとりシステムを用いた攻撃者の活動観測への期待が高まっている．本研究では，おとりシステムを用いた攻撃者の活動観測を支援する運用基盤の整備を目指す．特に，観測環境からインターネットへDoSなどの攻撃活動が発生した場合には、攻撃を検知し、遮断することを目的とする．本稿では，観測環境において平常通信と異常通信が混在しているという課題に対し，平常通信のDNS履歴を活用したホワイトリストを用いて，異常通信を抽出する手法を検討した．さらに，提案手法に基づき，平常通信の特性を整理するとともに，提案手法を適用した可視化試作システムについて報告する．