DNS over HTTPS Detection Using Standard Flow Telemetry
Loading...
Date
2023-01-31
Authors
Jeřábek, Kamil
Hynek, Karel
Ryšavý, Ondřej
Burgetová, Ivana
0000-0002-5317-9222Advisor
Referee
Mark
Journal Title
Journal ISSN
Volume Title
Publisher
IEEE
Altmetrics
Abstract
The aim of DNS over HTTPS (DoH) is to enhance users’ privacy by encrypting DNS. However, it also enables adversaries to bypass security mechanisms that rely on inspecting unencrypted DNS. Therefore in some networks, it is crucial to detect and block DoH to maintain security. Unfortunately, DoH is particularly challenging to detect, because it is designed to blend into regular HTTPS traffic. So far, there have been numerous proposals for DoH detection; however, they rely on specialized flow monitoring software that can export complex features that cannot be often computed on the running sequence or suffer from low accuracy. These properties significantly limit their mass deployment into real-world environments. Therefore this study proposes a novel DoH detector that uses IP-based, machine learning, and active probing techniques to detect DoH effectively with standard flow monitoring software. The use of classical flow features also enables its deployment in any network infrastructure with flow-monitoring appliances such as intelligent switches, firewalls, or routers. The proposed approach was tested using lab-created and real-world ISP-based network data and achieved a high classification accuracy of 0.999 and an F1 score of 0.998 with no false positives.
DNS přes HTTPS (DoH) je jedním z přístupů šifrovaného DNS, jehož cílem je zlepšit soukromí uživatelů. Současně však umožňuje uživatelům i protivníkům obejít stávající bezpečnostní mechanismy, které jsou silně založeny na kontrole nešifrovaného DNS. V porovnání s ostatními protokoly DNS over Encryption je DoH navržen tak, aby se vmísil do běžného provozu HTTPS, což ztěžuje odhalení jeho použití. Žádný ze stávajících návrhů neposkytuje uspokojivé řešení pro spolehlivou detekci DoH v reálném prostředí. Zejména spoléhání se na specializovaný software pro monitorování toku, který je schopen extrahovat velmi složité rysy, které nelze vypočítat na základě probíhající sekvence, v kombinaci s metodami strojového učení vede k nepřijatelnému počtu falešně pozitivních výsledků. Proto v této práci navrhujeme nový detektor DoH, který kombinuje přístupy založené na IP, strojovém učení a aktivním sondování, aby bylo možné účinně detekovat DoH. Na rozdíl od předchozích návrhů je náš detektor navržen tak, aby pracoval se standardními daty pro monitorování toku, což umožňuje jeho nasazení do jakékoli síťové infrastruktury se zařízeními pro monitorování toku, jako jsou inteligentní přepínače, firewally nebo směrovače.
DNS přes HTTPS (DoH) je jedním z přístupů šifrovaného DNS, jehož cílem je zlepšit soukromí uživatelů. Současně však umožňuje uživatelům i protivníkům obejít stávající bezpečnostní mechanismy, které jsou silně založeny na kontrole nešifrovaného DNS. V porovnání s ostatními protokoly DNS over Encryption je DoH navržen tak, aby se vmísil do běžného provozu HTTPS, což ztěžuje odhalení jeho použití. Žádný ze stávajících návrhů neposkytuje uspokojivé řešení pro spolehlivou detekci DoH v reálném prostředí. Zejména spoléhání se na specializovaný software pro monitorování toku, který je schopen extrahovat velmi složité rysy, které nelze vypočítat na základě probíhající sekvence, v kombinaci s metodami strojového učení vede k nepřijatelnému počtu falešně pozitivních výsledků. Proto v této práci navrhujeme nový detektor DoH, který kombinuje přístupy založené na IP, strojovém učení a aktivním sondování, aby bylo možné účinně detekovat DoH. Na rozdíl od předchozích návrhů je náš detektor navržen tak, aby pracoval se standardními daty pro monitorování toku, což umožňuje jeho nasazení do jakékoli síťové infrastruktury se zařízeními pro monitorování toku, jako jsou inteligentní přepínače, firewally nebo směrovače.
Description
Citation
IEEE Access. 2023, vol. 2023, issue 11, p. 50000-50012.
https://ieeexplore.ieee.org/abstract/document/10123708
https://ieeexplore.ieee.org/abstract/document/10123708
Document type
Peer-reviewed
Document version
Published version
Date of access to the full text
Language of document
en