Comparative Analysis of DNS over HTTPS Detectors
Loading...
Date
2024-04-20
Authors
Jeřábek, Kamil
Hynek, Karel
Ryšavý, Ondřej
0000-0002-5317-9222Advisor
Referee
Mark
Journal Title
Journal ISSN
Volume Title
Publisher
Elsevier
Altmetrics
Abstract
DNS over HTTPS (DoH) is a protocol that encrypts DNS traffic to improve user privacy and security. However, its use also poses challenges for network operators and security analysts who need to detect and monitor network traffic for security purposes. Therefore, there are multiple DoH detection proposals that leverage machine learning to identify DoH connections; however, these proposals were often tested on different datasets, and their evaluation methodologies were not consistent enough to allow direct performance comparison. In this study, seven DoH detection proposals were recreated and evaluated with six different experiments to answer research questions that targeted specific deployment scenarios concerning ML-model transferability, usability, and longevity. For thorough testing, a large Collection of DoH datasets along with a novel 5-week dataset was used, which enabled the evaluation of models’ longevity. This study provides insights into the current state of DoH detection techniques and evaluates the models in scenarios that have not been previously tested. Therefore, this paper goes beyond classical replication studies and shows previously unknown properties of seven published DoH detectors.
DNS přes HTTPS (DoH) je protokol, který šifruje přenosy DNS, aby se zlepšilo soukromí a zabezpečení uživatelů. Jeho používání však také představuje výzvu pro provozovatele sítí a bezpečnostní analytiky, kteří potřebují zjišťovat a monitorovat síťový provoz pro bezpečnostní účely. Proto existuje několik návrhů detekce DoH, které využívají strojové učení k identifikaci spojení DoH; tyto návrhy však byly často testovány na různých souborech dat a jejich metodiky vyhodnocování nebyly dostatečně konzistentní, aby umožnily přímé srovnání výkonnosti. Znovu jsme vytvořili sedm návrhů detekce DoH a vyhodnotili je pomocí šesti různých experimentů, abychom zodpověděli výzkumné otázky, které se zaměřovaly na konkrétní scénáře nasazení týkající se přenositelnosti, použitelnosti a životnosti ML-modelů. Pro důkladné testování jsme použili velkou Sbírku datových sad DoH spolu s novou pětitýdenní datovou sadou, která umožnila vyhodnotit drift dat. Naše studie poskytuje přehled o současném stavu technik detekce DoH a může pomoci provozovatelům sítí a bezpečnostním analytikům vybrat nejvhodnější metodu pro jejich konkrétní potřeby.
DNS přes HTTPS (DoH) je protokol, který šifruje přenosy DNS, aby se zlepšilo soukromí a zabezpečení uživatelů. Jeho používání však také představuje výzvu pro provozovatele sítí a bezpečnostní analytiky, kteří potřebují zjišťovat a monitorovat síťový provoz pro bezpečnostní účely. Proto existuje několik návrhů detekce DoH, které využívají strojové učení k identifikaci spojení DoH; tyto návrhy však byly často testovány na různých souborech dat a jejich metodiky vyhodnocování nebyly dostatečně konzistentní, aby umožnily přímé srovnání výkonnosti. Znovu jsme vytvořili sedm návrhů detekce DoH a vyhodnotili je pomocí šesti různých experimentů, abychom zodpověděli výzkumné otázky, které se zaměřovaly na konkrétní scénáře nasazení týkající se přenositelnosti, použitelnosti a životnosti ML-modelů. Pro důkladné testování jsme použili velkou Sbírku datových sad DoH spolu s novou pětitýdenní datovou sadou, která umožnila vyhodnotit drift dat. Naše studie poskytuje přehled o současném stavu technik detekce DoH a může pomoci provozovatelům sítí a bezpečnostním analytikům vybrat nejvhodnější metodu pro jejich konkrétní potřeby.
Description
Citation
Computer Networks. 2024, vol. 247, issue June, p. 1-13.
https://doi.org/10.1016/j.comnet.2024.110452
https://doi.org/10.1016/j.comnet.2024.110452
Document type
Peer-reviewed
Document version
Published version
Date of access to the full text
Language of document
en