Implementace detektoru DNS over HTTPS
Implementation of DNS over HTTPS Detector
Typ dokumentu
bakalářská prácebachelor thesis
Autor
Ondřej Hrdlička
Vedoucí práce
Hynek Karel
Oponent práce
Šutovský Martin
Studijní obor
Informační bezpečnost 2021Studijní program
InformatikaInstituce přidělující hodnost
katedra informační bezpečnostiObhájeno
2024-06-19Práva
A university thesis is a work protected by the Copyright Act. Extracts, copies and transcripts of the thesis are allowed for personal use only and at one?s own expense. The use of thesis should be in compliance with the Copyright Act http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf and the citation ethics http://knihovny.cvut.cz/vychova/vskp.htmlVysokoškolská závěrečná práce je dílo chráněné autorským zákonem. Je možné pořizovat z něj na své náklady a pro svoji osobní potřebu výpisy, opisy a rozmnoženiny. Jeho využití musí být v souladu s autorským zákonem http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf a citační etikou http://knihovny.cvut.cz/vychova/vskp.html
Metadata
Zobrazit celý záznamAbstrakt
Tato bakalářská práce popisuje tvorbu DNS over HTTPS (DoH) detektoru, který je integrován do systému NEMEA. Nástroje pro monitorování síte čelí různým výzvám při detekování DNS dotazů, protože tvůrci malwaru využívají šifrované DNS protokoly. Tato práce se zameřuje na implementaci detektoru, který kombinuje tři různé metody detekce--IP blocklist, klasifikaci pomocí strojového učení a aktivní oveřování. Vyhodnocení detektoru na datové sadě z reálné sítě ukazuje vysokou přesnost detektoru v identifikaci DoH provozu, a to pouze s využitím standardní flow telemetrie. Implementace navrženého detektoru v rámci NEMEA frameworku nabízí nasaditelné řešení pro vysokorychlostní sítě, které může pomoci předcházet mnoha bezpečnostním hrozbám. This bachelor thesis describes the creation of a DNS over HTTPS (DoH) network detector integrated within the NEMEA system. Network monitoring tools face challenges in detecting DNS queries since malware creators utilize encrypted DNS protocols. This work focuses on the implementation of the detector which combines three different detection methods--IP-based blocklist, machine learning classification, and active verification. Evaluation on a real-world dataset demonstrates the effectiveness of the detector in identifying DoH traffic with high accuracy while using only standard flow telemetry. Implementing the proposed detector within the NEMEA framework offers a deployable solution for high-speed networks, which can help prevent numerous security threats.