Detecção de tunelamento DNS baseada em aprendizagem de máquina: um estudo comparativo

Abstract

Domain Name System (DNS) é um protocolo fundamental para o funcionamento da Internet e tem como principal função mapear nomes de domínio para endereços IP. No entanto, sua ampla utilização em redes de computadores tem sido explorada por atacantes através da técnica de tunelamento DNS para evadir mecanismos de defesa, como firewalls, e então realizar atividades maliciosas como vazamento de dados, execução de comandos e upload de códigos maliciosos, causando sérios prejuízos financeiros às instituições. Para detectar o uso dessa técnica, sistemas de detecção de intrusão (IDSs, do inglês Intrusion Detection Systems) foram propostos com duas abordagens principais: detecção baseada em assinatura, que oferece alto desempenho de detecção para ataques conhecidos, e detecção baseada em anomalias, capaz de detectar até mesmo comportamentos maliciosos nunca vistos antes. Dentre os métodos de detecção baseada em anomalias, destacam-se os métodos não-supervisionados, que apresentam melhor desempenho na detecção de ataques desconhecidos e não necessitam de dados rotulados, reduzindo custos associados à aquisição de dados. Neste trabalho, realizamos uma análise comparativa de métodos não-supervisionados de aprendizagem de máquina para o desenvolvimento de IDSs baseados em anomalias, com foco em detectar atividades de vazamento de dados através de túneis DNS. Comparamos o desempenho de métodos de detecção baseados nos algoritmos KMeans, Isolation Forest, Autoencoder e SOM-KNN com outras abordagens propostas na literatura. Os resultados dos experimentos mostraram que a abordagem SOM-KNN obteve, em geral, os melhores resultados em termos de desempenho de detecção e tempo de inferência. Além disso, as abordagens de autoencoder e dos trabalhos da literatura também apresentaram resultados próximos e competitivos.