Techniky analýzy velkých objemů dat pro monitorování síťového provozu: Příběh detekce DNS over HTTPS

Thumbnail Image
Files
final-thesis.pdf(2.94 MB)
Date
Authors
Jeřábek, Kamil
ORCID
Advisor
Referee
Mark
P
Journal Title
Journal ISSN
Volume Title
Publisher
Vysoké učení technické v Brně. Fakulta informačních technologií
Abstract
Síťový monitoring hraje klíčovou roli v arzenálu nástrojů používaných síťovými operátory k zajištění bezpečnosti. S většinou dnes již šifrovaného síťového provozu a s nástupem nových protokolů, které rozšiřují šifrování na dříve nešifrovanou komunikaci, se tradiční monitorovací techniky, které spoléhají na viditelnost nešifrovaného síťového provozu, staly zastaralými. V tomto důsledku musí řešení nyní spoléhat na metadata extrahovaná široce rozšířenými monitorovacími infrastrukturami pracujícími na úrovni síťových toků. Jedním z protokolů, který dostává šifrované alternativy, je DNS. DNS over HTTPS (DoH) je jedním z pokusů o šifrování DNS provozu, který získal širokou podporu mezi uživateli a překladači doménových jmen. Implementace DoH je již integrována do většiny prohlížečů, proxy serverů a operačních systémů. I když DoH zlepšuje soukromí uživatelů, zanechává síťové operátory a~specializované systémy detekce vniknutí (IDS) slepé vůči DNS provozu. Navíc operátoři si nejsou vědomi používání DoH uživateli, protože DoH je navrženo tak, aby se zamíchalo mezi ostatní HTTPS provoz. Od standardizace v říjnu 2018 bylo DoH důkladně studováno z různých perspektiv, včetně detekce. Tato práce navrhuje spolehlivou metodu detekce s využitím kombinace technik, včetně strojového učení, k identifikaci DoH a jeho odlišení od běžného HTTPS provozu, což zvyšuje povědomí síťových operátorů o používání DoH a umožňuje jim jednat v souladu se svými bezpečnostními politikami. Práce podrobně zkoumá DoH v souladu s datově orientovaným konceptem strojového učení, což umožňuje vytvoření komplexních datových sad a návrh účinných praktických mechanismů detekce s využitím datových zdrojů široce rozšířených monitorovacích infrastruktur pracujících na úrovni síťových toků. Navíc navržená metoda detekce je testována v různých scénářích, odhalujících její charakteristiky a účinnost ve srovnání s jinými nejmodernějšími přístupy.
Network monitoring plays a crucial role in the arsenal of tools used by network operators to ensure security. With the majority of network traffic now encrypted and the emergence of new protocols that extend encryption to previously unencrypted communications, traditional monitoring techniques that rely on the visibility of unencrypted network traffic have become obsolete. Consequently, solutions must now depend on the traffic metadata provided by widely used flow monitoring infrastructures. One of the protocols that get encrypted alternatives is DNS. DNS over HTTPS (DoH) is one of the attempts to encrypt DNS traffic that received broad adoption among users and resolvers. The~DoH implementation is already incorporated in most browsers, proxies, and operating systems. While DoH improves users' privacy, it leaves network operators and specialized Intrusion Detection Systems (IDS) blind to DNS traffic. Moreover, operators are unaware of DoH usage by users as DoH is designed to blend with other HTTPS traffic. Since its standardization in October 2018, the DoH has been studied extensively from various perspectives, including detection. This work proposes a reliable detection method using a combination of techniques, including machine learning, to identify DoH and distinguish it from regular HTTPS traffic, bringing awareness to network operators and allowing them to act according to their security policies. The work studies DoH thoroughly aligned with the data-centric concept of machine learning, enabling the creation of comprehensive datasets and designing effective practical detection mechanisms utilizing data sources of broadly present flow monitoring infrastructures. Moreover, the proposed detection method is tested in various scenarios, uncovering its characteristics and effectiveness compared with other state-of-the-art approaches.
Description
Keywords
DNS over HTTPS, Monitoring sítí, Detekce, Strojové učení, Data centrický koncept, Datová analýza, Kyberbezpečnost, DNS over HTTPS, Network Monitoring, Detection, Machine Learning, Data Centric Concept, Data Analysis, Cybersecurity
Citation
JEŘÁBEK, K. Techniky analýzy velkých objemů dat pro monitorování síťového provozu: Příběh detekce DNS over HTTPS [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. .
Document type
Document version
Date of access to the full text
Language of document
en
Study field
Výpočetní technika a informatika
Comittee
doc. Ing. Jan Kořenek, Ph.D. (předseda) doc. Ing. Zdeněk Martinásek, Ph.D. (člen) prof. Ing. Hana Kubátová, CSc. (člen) doc. RNDr. Jan Kofroň, Ph.D. (člen) doc. Dr. techn. Ing. Michal Ries (člen)
Date of acceptance
Defence
The student presented the goals and results, which he achieved within the solution of the dissertation. The student has competently answered the questions of the committee members and reviewers. The discussion is recorded on the discussion sheets, which are attached to the protocol. Number of discussion sheets: 5 The committee has agreed by a majority that the student has fulfilled requirements for being awarded the academic title Ph.D.
Result of defence
práce byla úspěšně obhájena
Document licence
Standardní licenční smlouva - přístup k plnému textu bez omezení
DOI
URI
https://hdl.handle.net/11012/249424
Collections
2023
Citace PRO