Název:
Techniky analýzy velkých objemů dat pro monitorování síťového provozu: Příběh detekce DNS over HTTPS
Překlad názvu:
Big Data Analysis Techniques for Network Traffic Monitoring: The Story of DNS over HTTPS Detection
Autoři:
Jeřábek, Kamil ; Laskov, Pavel (oponent) ; Wang, Peter Shaojui (oponent) ; Ryšavý, Ondřej (vedoucí práce) Typ dokumentu: Disertační práce
Jazyk:
eng
Nakladatel: Vysoké učení technické v Brně. Fakulta informačních technologií
Abstrakt: [eng][cze]
Síťový monitoring hraje klíčovou roli v arzenálu nástrojů používaných síťovými operátory k zajištění bezpečnosti. S většinou dnes již šifrovaného síťového provozu a s nástupem nových protokolů, které rozšiřují šifrování na dříve nešifrovanou komunikaci, se tradiční monitorovací techniky, které spoléhají na viditelnost nešifrovaného síťového provozu, staly zastaralými. V tomto důsledku musí řešení nyní spoléhat na metadata extrahovaná široce rozšířenými monitorovacími infrastrukturami pracujícími na úrovni síťových toků. Jedním z protokolů, který dostává šifrované alternativy, je DNS. DNS over HTTPS (DoH) je jedním z pokusů o šifrování DNS provozu, který získal širokou podporu mezi uživateli a překladači doménových jmen. Implementace DoH je již integrována do většiny prohlížečů, proxy serverů a operačních systémů. I když DoH zlepšuje soukromí uživatelů, zanechává síťové operátory a~specializované systémy detekce vniknutí (IDS) slepé vůči DNS provozu. Navíc operátoři si nejsou vědomi používání DoH uživateli, protože DoH je navrženo tak, aby se zamíchalo mezi ostatní HTTPS provoz. Od standardizace v říjnu 2018 bylo DoH důkladně studováno z různých perspektiv, včetně detekce. Tato práce navrhuje spolehlivou metodu detekce s využitím kombinace technik, včetně strojového učení, k identifikaci DoH a jeho odlišení od běžného HTTPS provozu, což zvyšuje povědomí síťových operátorů o používání DoH a umožňuje jim jednat v souladu se svými bezpečnostními politikami. Práce podrobně zkoumá DoH v souladu s datově orientovaným konceptem strojového učení, což umožňuje vytvoření komplexních datových sad a návrh účinných praktických mechanismů detekce s využitím datových zdrojů široce rozšířených monitorovacích infrastruktur pracujících na úrovni síťových toků. Navíc navržená metoda detekce je testována v různých scénářích, odhalujících její charakteristiky a účinnost ve srovnání s jinými nejmodernějšími přístupy.
Network monitoring plays a crucial role in the arsenal of tools used by network operators to ensure security. With the majority of network traffic now encrypted and the emergence of new protocols that extend encryption to previously unencrypted communications, traditional monitoring techniques that rely on the visibility of unencrypted network traffic have become obsolete. Consequently, solutions must now depend on the traffic metadata provided by widely used flow monitoring infrastructures. One of the protocols that get encrypted alternatives is DNS. DNS over HTTPS (DoH) is one of the attempts to encrypt DNS traffic that received broad adoption among users and resolvers. The~DoH implementation is already incorporated in most browsers, proxies, and operating systems. While DoH improves users' privacy, it leaves network operators and specialized Intrusion Detection Systems (IDS) blind to DNS traffic. Moreover, operators are unaware of DoH usage by users as DoH is designed to blend with other HTTPS traffic. Since its standardization in October 2018, the DoH has been studied extensively from various perspectives, including detection. This work proposes a reliable detection method using a combination of techniques, including machine learning, to identify DoH and distinguish it from regular HTTPS traffic, bringing awareness to network operators and allowing them to act according to their security policies. The work studies DoH thoroughly aligned with the data-centric concept of machine learning, enabling the creation of comprehensive datasets and designing effective practical detection mechanisms utilizing data sources of broadly present flow monitoring infrastructures. Moreover, the proposed detection method is tested in various scenarios, uncovering its characteristics and effectiveness compared with other state-of-the-art approaches.
Klíčová slova:
Cybersecurity; Data Analysis; Data Centric Concept; Detection; DNS over HTTPS; Machine Learning; Network Monitoring; Data centrický koncept; Datová analýza; Detekce; DNS over HTTPS; Kyberbezpečnost; Monitoring sítí; Strojové učení
Instituce: Vysoké učení technické v Brně
(web)
Informace o dostupnosti dokumentu:
Plný text je dostupný v Digitální knihovně VUT. Původní záznam: https://hdl.handle.net/11012/249424