Geri Dön

Detection of the DNS tunneling attack traffic within DNS over HTTPS traffic

HTTPS tabanlı DNS trafikleri içerisindeki DNS tünelleme saldırı trafiğinin algılanması

PDF İndir

  1. Tez No: 683649
  2. Yazar: MURAT SELÇUK KARALAR
  3. Danışmanlar: DOÇ. DR. ENVER ÖZDEMİR
  4. Tez Türü: Yüksek Lisans
  5. Konular: Bilgi ve Belge Yönetimi, Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Information and Records Management, Computer Engineering and Computer Science and Control
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2021
  8. Dil: İngilizce
  9. Üniversite: İstanbul Teknik Üniversitesi
  10. Enstitü: Lisansüstü Eğitim Enstitüsü
  11. Ana Bilim Dalı: Hesaplamalı Bilimler ve Mühendislik Ana Bilim Dalı
  12. Bilim Dalı: Hesaplamalı Bilim ve Mühendislik Bilim Dalı
  13. Sayfa Sayısı: 67

Özet

Bilgi güvenliği ve kullanıcı mahremiyeti internet iletişiminde her zaman en önemli konulardan birisi olmuştur. Mevcut teknolojide ağ trafiğinin izlenmesi amacına dayanan birçok yöntem kullanılmaktadır ve bu yöntemler kimi zaman kullanıcı mahremiyetini ihlal edebilmektedir. Bu tarz mahremiyet ve güvenlik kaygıları sebebiyle, yıllardır süre gelen gelişmeler ile birlikte, artık internet web trafiğinin çok büyük bir kısmı uçtan uca şifreli iletişime dayanmaktadır, ancak yine de tüm internet trafiğinin şifreli olduğu söylenemez. İnternetin başlangıç noktası olan Alan-Adı-Sorgulama-Servisi (Domain Name Service -DNS) [1,2] protokolü halen çoğunlukla şifrelenmemiş aktarım protokolü üzerinde çalışmaktadır. DNS verileri ise mahremiyet açısından son derece önemlidir. Çünkü DNS verilerinin içeriği, yani DNS kullanıcı istek ve yanıt paketleri kullanıcının erişmeye çalıştığı hedef web sayfası veya uygulamanın ne olduğu hakkındaki bilgileri içerebilir. Mevcut DNS teknolojisi Kullanıcı-Datagram-Protokolü (User Datagram Protocol -UDP) üzerinde çalışır ve uçtan-uca tüm DNS trafiği açık metin olduğundan, amaç her ne olursa olsun, iletişimi dinleyen herkes iletişimin içeriğini görebilir [3]. Bu da kullanıcı mahremiyetinin ihlali anlamına gelebilmektedir. Bu tür zayıflıklar ve güvenlik açıkları nedeniyle ve DNS iletişimi için daha fazla mahremiyet sağlamak amacıyla IETF, DNS sorgu-yanıt trafiğini HTTPS paketleri içerisine şifreleyen, HTTPS üzerinden DNS (DNS over HTTPS- DOH) [4] protokolünü yayımlamıştır. DOH, oldukça yeni bir protokol olmasına rağmen, özellikle büyük internet oyuncularının da destekleri ile birlikte, çok hızlı bir şekilde yaygınlaşmaya başlamıştır. 2021 itibariyle, Google Chrome, Mozilla Firefox, Microsoft Edge, Opera gibi web tarayıcısının çoğu ve Apple IOS, MS Windows gibi işletim sistemleri DOH protokolünü desteklemektedir. Ayrıca Mart 2020'de Mozilla, Firefox'un web tarayıcısının ABD merkezli kullanıcılar için varsayılan olarak DOH protokolünü kullanıma sunmaya başladığını duyurmuştur [5]. Normal DNS'ten şifreli DNS'e yani DOH'a geçiş hala devam etmektedir ve büyük olasılıkla birkaç yıl içinde fiili standart olacaktır. DOH protokolünün kullanıcılar açısından birçok mahremiyet sorununu çözdüğü yadsınamaz. Ancak maalesef DNS protokolünü kullanan sadece kullanıcılar değildir, kötü amaçlı yazılımlar da bu yeni teknolojinin diğer kullanıcılarıdır. Kötü amaçlı yazılımlar, Komut-ve-Kontrol (Command and Control-C2) iletişimi gibi kötü amaçlı etkinlikleri için zaten normal DNS protokolünü kötüye kullanmaktadırlar ve bu davranış, güvenlik duvarları, IDS'ler vb. siber güvenlik sistemleri tarafından zaten bilinmekte ve önlenebilmektedir. Mevcut normal DNS protokolü açık metin olduğundan, tüm bu tür güvenlik sistemleri esas olarak kötü niyetli faaliyetleri tespit etme amaçlı olarak, DNS sorgu-yanıt trafiğinin içeriğini okuyabilmekte ve kötü amaçlı yazılım faaliyetlerini tespit edip önleyebilmektedir. Ancak yeni DOH protokolü, DNS trafiğinin da artık uçtan uca şifreli iletilmesini sağladığı için, işte tüm bu güvenlik sistemleri, büyük oranda işlevsiz kalmaktadır. Özetle, kullanıcı gizliliğini artırmak amacı ile geliştirilen şifreli DNS protokolü DOH, maalesef kötü amaçlı yazılımların da kendilerini gizlemeleri için bir fırsattır. DOH protokolünden bağımsız olarak, normal DNS hali hazırda birçok kötü amaçlı yazılım tarafından, farklı atak tipleri için kullanılmaktadır. DNS tünelleme atağı da bunlardan birisidir. DNS tünelleme atağı, temelde kötü niyetli yazılım tarafından, üzerine yerleştiği sistem ile Komut-ve-Kontrol (Command and Control-C2) sunucuları arasındaki iletişimi, DNS protokolünü kullanarak tünellemek ve gizlenmek amacıyla kullanılır. Ancak mevcut DNS protokolünde, herhangi bir şifreleme olmadığı için, siber güvenlik sistemleri, bu iletişimi okuyabilmekte ve bu trafiğin bir atak trafiği olup olmadığı ile ilgili karar verebilmektedir. Ancak, DNS iletişim trafiğinin şifrelenmesini öngören DOH protokolü ile, artık bu DNS tünelleme atak trafiğinin algılanması mevcut yöntemler ile mümkün değildir. DOH protokolünü kullanmanın sonuçları, DNS gizliliği açısından oldukça kapsamlıdır. Ancak DOH, birçok dezavantajı da beraberinde getirebilir. Kullanıcı gizliliğinin yanı sıra, bilgisayar korsanlarına ve kötü amaçlı yazılımlara da protokolün kendi güvenliğini kötüye kullanmak suretiyle, yeni bir iletişim kanalı sağlayabilir. DOH protokolünün, örneğin DNS tünelleme saldırısı için kötü amaçlı yazılım tarafından kullanıldığında, siber güvenlik uygulamalarının hiçbiri tarafından görülmeyen yeni bir gizli iletişim yolu sağlanmış olur. DOH protokolünün yeni olması ve halen geçişin devam etmesine rağmen, mevcut birkaç kötü amaçlı yazılımın kodlarının, bu yeni protokolü de kullanmak için tekrar geliştirildiği ile ilgili araştırmalar ve örnekler mevcuttur, bu da göstermektedir ki, protokolün kendisine uyum, sadece kullanıcılar tarafında değil, bilgisayar korsanları tarafında da hızla devam etmektedir. Bu nedenle, bu yeni protokolün kötüye kullanımını engellemek için yeni güvenlik yollarını araştırmak, yeni özellikler bulmak çok önemlidir. Bu çalışmada, HTTPS üzerinden DNS (DOH) protokol trafiği içerisine gizlenmiş, bir komut-ve-Kontrol (Command and Control-C2) iletişimi türü olan DNS tünelleme Saldırısı trafiğinin özelliklerini araştırdık ve kötü niyetli DNS tünelleme trafiğini tespit etmek için Makine Öğrenimi (ML) tabanlı bir model geliştirdik. Trafik özellikleri araştırmak ve modelimizi geliştirmek için Kanada Siber Güvenlik Enstitüsü (CIC) grubu tarafından 2020 yılında oluşturulan CIRA-CIC-DoHBrw-2020 veri setini kullandık. DOH trafiği içerisindeki DNS tünelleme atağı tespit yöntemimiz, iki aşamalı bir sınıflandırma sisteminden oluşmaktadır. Birinci aşamadaki sınıflandırma sistemi, normal HTTPS trafikleri ile, DNS over HTTPS trafiklerini birbirinden ayırmaktadır. İkinci aşamadaki sistem ise, birinci aşamadaki çıktıları alarak, DNS over HTTPS trafikleri içerisindeki atak trafiğini ve normal trafiği birbirinden ayırmaktadır. Sonuç olarak, içerisinde hem normal HTTPS hem temiz DNS over HTTPS ve hem de DNS tünelleme atağı trafiğini barındıran veri içerisinden, DNS tünelleme atak trafiği tespit edilmiş olur. İki aşamalı bir sistem kullanılmasının sebebi, gerçek senaryoya daha yakın bir kurgu sunabilmektir. Çünkü kötü amaçlı yazılım tarafından işgal edilen bir sistem hem normal kullanıcı özelliğini gösterebilmekte hem de bunun yanında atak trafiğini iletebilmektedir. Her iki sınıflandırma sisteminde de CIRA-CIC-DoHBrw-2020 veri setlerini detaylı olarak analiz ettik. Veri setindeki özelliklerin dağılımlarını ve birbirileri ile olan ilişkilerini inceledik. Bu incelemeler sonucunda, yüksek ilişkili bazı özellikleri veri setinden çıkardık. Ayrıca bazı özelliklerin, İnternet Protokol (IP) gibi, önerdiğimiz sınıflandırma yönteminde kullanılamayacağını öngördük. Bunu yanında, iletişim sırasındaki alınan ve gönderilen paketlerin boyutlarının birbirlerine olan oranı gibi yeni özellikler kullanılabileceğini öngördük. Özetle ilgili veri setini, geliştirdiğimiz yöntem ile daha iyi sonuçlar elde edebilmesi için özelleştirdik. Tüm bu çalışmalar, makine öğrenmesi algoritmasının daha yüksek doğruluk elde etmesine yardımcı oldu.

Özet (Çeviri)

Privacy has always been one of the most important issues on the internet communication. Information security and user privacy are the hot research areas which are the important necessities of the evolving internet technology. Currently, there are wide variety of methods being used by the eavesdroppers to monitor the networking traffic, which can result in privacy leakage. Because of such privacy and security concerns most of the internet web traffic is now based on https and encrypted, but not all. Regular Domain Name Service (DNS) [1,2] protocol which is the starting point of the internet, is still mostly running on unencrypted transport protocol. DNS data is tremendously important in terms of privacy since the data itself includes the information about the user request and responses which means the destination information about where the user is trying to access. The existing DNS technology runs on User Datagram Protocol (UDP) and because all end-to-end DNS traffic is plain text, regardless of the purpose, anyone who listens the communication can see the content of the sent and received data [3]. Because of such weaknesses and vulnerabilities and in order to provide privacy for DNS communication, IETF has released DNS over HTTPS (DOH) [4] protocol which encrypts DNS query-response traffic into HTTPS packets. By 2021, most of the web browsers like Google Chrome, Mozilla Firefox, Microsoft Edge, Opera and the operation systems like Apple IOS and MS Windows are supporting DOH protocol. In addition, in March 2020, Mozilla announced that Firefox has started the rollout of DOH protocol by default for US-based users [5]. The shift from regular DNS to DOH is still ongoing and most probably will be the de facto standard within some years. Surely DNS over HTTPS (DOH) protocol resolves many privacy problems for users. On the other hand, users are not the only ones using the DNS protocols, malwares are the other users of this new technology as well. Malwares are already abusing regular DNS protocol for their malicious activities like Command and Control (C2) communication, and this behavior is already known by the cyber security systems like firewalls, IDSs etc. Because the existing regular DNS protocol is cleartext, all such security systems mainly targeted to detect malicious activities can read the content of the DNS query-response traffic and are able to detect and prevent the malwares malicious activity. Regardless of the DOH protocol, regular DNS is already being used by many malwares for different types of attacks. DNS tunneling attack is one of such. These types of attacks are used by malicious software in order to create a tunnel and hide the C2 communication traffic between the system in which it is placed and C2 servers, by abusing DNS protocol. Since there is no encryption in the existing DNS protocol, cyber security systems can read this communication and decide whether there is any anomaly in the traffic or not. However, with the DOH protocol, which ensures the encryption of DNS communication traffic, it is no longer possible to detect this DNS tunneling attack traffic using existing methods. The consequences of using DOH protocol are extensive in terms of DNS privacy. However, DOH can bring many downsides as well. Apart from the user privacy, it can also provide the hackers and malwares a new way of communication channel by abusing the protocol itself. As mentioned before, when DOH is used by any malicious software with different types of attacks like DNS tunneling for instance, it means providing a new way of hidden communication path which is not visible by any of the cybersecurity applications. Despite being a novel protocol, there are already examples about how the existing attack types are evolving to abuse the DOH. This is openly showing that the adoption to the DOH protocol is not only for users but also for the adversaries. Therefore, it's crucial to research new ways of security for this new protocol. In this work, we investigate the features of DNS Tunneling Attack, which is a type C2 communication, inside DNS over HTTPS (DOH) protocol traffic and propose a Machine Learning (ML) based model in order to detect the malicious DNS Tunneling traffic. In this work, we employ CIRA-CIC-DoHBrw-2020 dataset which is generated by Canadian Institute for Cybersecurity (CIC) group in 2020 to investigate the features and to develop our model. Then we used machine learning techniques in order to detect malicious DOH. Mainly the aim of the proposed solution is to detect the malicious DNS traffic which is DNS tunneling attack traffic in our case. The dataset CIRA-CIC-DoHBrw-2020 includes 3 different types of HTTPS flows; regular HTTPS, benign DOH and malicious DOH. Our proposed solution consists of a two-stage classification method. The first classification stage distinguishes the regular HTTPS samples from DOH samples. The system in the second stage gets the output of the first classifications result as input and distinguishes the benign DOH samples from malicious DOH samples which are the DNS tunneling attack samples. As a result, DNS tunneling attack traffic is detected from the data which contains regular HTTPS, DNS over HTTPS(DOH) and DNS tunneling attack. In order to have a better view of DOH protocol features, we detailly investigated the features of the datasets. We inspected the distributions of the features in the data set and their relations with each other. As a result of these investigations, we removed some highly correlated features from the dataset and we dropped some of the features like IP address, port numbers. In addition, we envisaged that new features such as the ratio of the send and received total packet sizes can be used in our solution. As a result, all these works customizing the dataset and features helped our solution to obtain better results.

Benzer Tezler

  1. Tez No

    702432

    Makine öğrenmesi ve derin öğrenme yöntemleri kullanılarak saldırı tespit ve önleme sistemi geliştirilmesi

    Developing an intrusion detection and prevention system using machine learning and deep learning methods

    MEHMET ALİ ALTUNCU

    Doktora

    Türkçe

    Türkçe

    2021

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolKocaeli Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DOÇ. DR. SUHAP ŞAHİN

  2. Tez No

    611616

    Yerel ağlardan DNS tünelleme yöntemiyle veri kaçırılmasının tespitine yönelik bir yaklaşım

    An approach to determining data hijacking with DNS tunneling method from local networks

    UĞUR TANIK GÜDEKLİ

    Yüksek Lisans

    Türkçe

    Türkçe

    2019

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolGazi Üniversitesi

    Bilişim Sistemleri Ana Bilim Dalı

    DOÇ. DR. BÜNYAMİN CİYLAN

  3. Tez No

    455230

    Kan kültüründen izole edilen candida türü mayaların repetetive-PCR ile klonal dağılımlarının belirlenmesi

    Detection of clonal distrubition of candida type yeasts isolated from blood culture with repetetive PCR

    BEGÜM BAYRAM UÇAR

    Yüksek Lisans

    Türkçe

    Türkçe

    2016

    MikrobiyolojiGaziantep Üniversitesi

    Tıbbi Mikrobiyoloji Ana Bilim Dalı

    PROF. YASEMİN ZER

  4. Tez No

    163433

    Diyabetik hastalarda polinöropatinin elektrofizyolojik yöntemle araştırılması, DNS ve DNE skorlarının duyarlılığı ve seçiciliği ve polinöropatinin yaşam kalitesi üzerine etkisinin değerlendirilmesi

    Başlık çevirisi yok

    ÜLKÜ KOÇ

    Tıpta Uzmanlık

    Türkçe

    Türkçe

    2005

    Fiziksel Tıp ve RehabilitasyonZonguldak Karaelmas Üniversitesi

    Fiziksel Tıp ve Rehabilitasyon Ana Bilim Dalı

    Y.DOÇ.DR. SELDA SARIKAYA

    Y.DOÇ.DR. ŞENAY ÖZDOLAP

  5. Tez No

    860823

    Ağ trafiğinde etkili olan özniteliklerin tespiti ve yapay sinir ağları ile trafiklerin izin tahmini

    Detection of features that are effective in network traffic and permission estimation of traffic with artifical neural network

    MUHAMMED ÖZDEMİR

    Yüksek Lisans

    Türkçe

    Türkçe

    2024

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolSakarya Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ HÜSEYİN ESKİ

Geri Dön