COMPARISON OF MACHINE LEARNING ALGORITHMS FOR DETECTION OF DATA EXFILTRATION OVER DNS

Year 2024, Volume: 9 Issue: 2, 61 - 70, 30.10.2024

Enes Açıkgözoğlu

https://doi.org/10.57120/yalvac.1507402

Abstract

Nowadays, computers are indispensable for business processes and home users. The widespread use of the Internet provides convenience in many areas from education to research. However, most of the users are unaware of technical security measures and use the Internet unconsciously. This situation leads to inadequate security measures against cyber-attacks. Various trainings are organised for conscious and safe internet use, but these efforts are not enough. Therefore, artificial intelligence-based solutions that can detect cyber incidents and close security gaps are becoming necessary. DNS tunnelling is a method used by malware to leak data over the internet. Vulnerable computers can put users in difficult situations by learning IP addresses from the wrong DNS servers. Innovative methods have been developed to detect this tunnelling. Some methods can detect low and slow data leakage through DNS in real time. There are also hybrid DNS tunnelling detection systems that achieve high accuracy and F-score using packet length and specific features. Feature-based methods sensitive to cache characteristics effectively characterise DNS tunnelling traffic with low false detection rates. These methods offer effective strategies for internet security. In this study, the detection of DNS tunnelling attacks by machine learning algorithms on the CIC-Bell-DNS-EXF-2021 dataset was investigated.

Keywords

CIC-Bell-DNS-EXF-2021, Machine Learning, DNS Tunnelling

DNS ÜZERİNDEN VERİ SIZINTILARININ TESPİTİ İÇİN MAKİNE ÖĞRENME ALGORTİTMALARININ KARŞILAŞTIRILMASI

Abstract

Günümüzde bilgisayarlar, iş süreçlerinde ve ev kullanıcıları için vazgeçilmezdir. İnternetin yaygın kullanımı, eğitimden araştırmaya pek çok alanda kolaylık sağlamaktadır. Ancak, kullanıcıların çoğu teknik güvenlik önlemlerinden habersizdir ve interneti bilinçsizce kullanmaktadır. Bu durum, siber saldırılara karşı yetersiz güvenlik önlemlerine yol açmaktadır. Bilinçli ve güvenli internet kullanımı için çeşitli eğitimler düzenlenmekte, ancak bu çabalar yeterli olmamaktadır. Bu nedenle, siber olayları tespit edebilecek ve güvenlik açıklarını kapatacak yapay zeka temelli çözümler gerekli hale gelmektedir. DNS tünelleme, zararlı yazılımların internet üzerinden veri sızdırmak için kullandığı bir yöntemdir. Zafiyetli bilgisayarlar, yanlış DNS sunucularından IP adresi öğrenerek kullanıcıları zor durumlara düşürebilmektedir. Bu tünellemeyi tespit etmek için yenilikçi yöntemler geliştirilmiştir. Bazı yöntemler DNS üzerinden düşük ve yavaş veri sızıntısını gerçek zamanlı tespit edebilmektedirler. Ayrıca, paket uzunluğu ve belirli özellikleri kullanarak yüksek doğruluk ve F-skoru elde eden hibrit DNS tünelleme tespit sistemleri bulunmaktadır. Önbellek özelliklerine duyarlı özelliklere dayalı yöntemler ise düşük yanlış tespit oranlarıyla DNS tünelleme trafiğini etkili bir şekilde karakterize eder. Bu yöntemler, internet güvenliği konusunda etkili stratejiler sunmaktadır. Yapılan bu çalışmada CIC-Bell-DNS-EXF-2021 veri seti üzerinde makine öğrenimi algoritmalarının DNS tünelleme ataklarını tespit etme durumları araştırılmıştır.

Keywords

CIC-Bell-DNS-EXF-2021, Makine Öğrenmesi, DNS Tünelleme

References

• [1] O. Abualghanam, H. Alazzam, B. Elshqeirat, M. Qatawneh, ve M. A. Almaiah, “Real-Time Detection System for Data Exfiltration over DNS Tunneling Using Machine Learning”, Electron. 2023, Vol. 12, Page 1467, c. 12, sayı 6, s. 1467, Mar. 2023, doi: 10.3390/ELECTRONICS12061467.
• [2] Y. Ozery, A. Nadler, ve A. Shabtai, “Information-Based Heavy Hitters for Real-Time DNS Data Exfiltration Detection and Prevention”, Tem. 2023, Erişim: 14 Haziran 2024. [Çevrimiçi]. Available at: https://arxiv.org/abs/2307.02614v1
• [3] S. Sugasawa, Y. Shibahashi, H. Kunimune, H. Goromaru, ve S. Tanimoto, “DNS-tunneling-detection Method by Monitoring DNS Subdomain Length for General Usage”, ss. 121–122, Oca. 2023, doi: 10.1109/GCCE56475.2022.10014255.
• [4] L. Salat, M. Davis, ve N. Khan, “DNS Tunnelling, Exfiltration and Detection over Cloud Environments”, Sensors 2023, Vol. 23, Page 2760, c. 23, sayı 5, s. 2760, Mar. 2023, doi: 10.3390/S23052760.
• [5] L. De Souza Bezerra Borges, R. De Oliveira Albuquerque, ve R. T. De Sousa Junior, “A security model for DNS tunnel detection on cloud platform”, 2022 Work. Commun. Networks Power Syst. WCNPS 2022, 2022, doi: 10.1109/WCNPS56355.2022.9969715.
• [6] W. Ellens, P. Zuraniewski, A. Sperotto, H. Schotanus, M. Mandjes, ve E. Meeuwissen, “Flow-Based Detection of DNS Tunnels”, Lect. Notes Comput. Sci. (including Subser. Lect. Notes Artif. Intell. Lect. Notes Bioinformatics), c. 7943 LNCS, ss. 124–135, 2013, doi: 10.1007/978-3-642-38998-6_16.
• [7] C. M. Lai, B. C. Huang, S. Y. Huang, C. H. Mao, ve H. M. Lee, “Detection of DNS Tunneling by Feature-Free Mechanism”, DSC 2018 - 2018 IEEE Conf. Dependable Secur. Comput., Oca. 2019, doi: 10.1109/DESEC.2018.8625166.
• [8] Y. Shao, X.-D. Li, A. F. Sani, ve M. A. Setiawan, “DNS tunneling Detection Using Elasticsearch”, IOP Conf. Ser. Mater. Sci. Eng., c. 722, sayı 1, s. 012064, Oca. 2020, doi: 10.1088/1757-899X/722/1/012064.
• [9] A. L. Buczak, P. A. Hanke, G. J. Cancro, M. K. Toma, L. A. Watkins, ve J. S. Chavis, “Detection of tunnels in PCAP data by random forests”, Proc. 11th Annu. Cyber Inf. Secur. Res. Conf. CISRC 2016, Nis. 2016, doi: 10.1145/2897795.2897804.
• [10] S. Mahdavifar vd., “Lightweight Hybrid Detection of Data Exfiltration using DNS based on Machine Learning”, ACM Int. Conf. Proceeding Ser., ss. 80–86, Ara. 2021, doi: 10.1145/3507509.3507520/SUPPL_FILE/P80-MAHDAVIFAR-SUPPLEMENT.PPTX.
• [11] S. Wang, L. Sun, S. Qin, W. M. Li, ve W. Liu, “KRTunnel: DNS channel detector for mobile devices”, Comput. Secur., c. 120, s. 102818, Eyl. 2022, doi: 10.1016/J.COSE.2022.102818.
• [12] R. Mitsuhashi, Y. Jin, K. Iida, T. Shinagawa, ve Y. Takai, “Malicious DNS Tunnel Tool Recognition Using Persistent DoH Traffic Analysis”, IEEE Trans. Netw. Serv. Manag., c. 20, sayı 2, ss. 2086–2095, Haz. 2023, doi: 10.1109/TNSM.2022.3215681.
• [13] X. D. Li, Y. F. Song, ve Y. Q. Li, “DNS Tunnel Detection Scheme Based on Machine Learning in Campus Network”, Proc. - 2022 4th Int. Conf. Mach. Learn. Big Data Bus. Intell. MLBDBI 2022, ss. 253–257, 2022, doi: 10.1109/MLBDBI58171.2022.00056.
• [14] O. Abualghanam, H. Alazzam, B. Elshqeirat, M. Qatawneh, ve M. A. Almaiah, “Real-Time Detection System for Data Exfiltration over DNS Tunneling Using Machine Learning”, Electron. 2023, Vol. 12, Page 1467, c. 12, sayı 6, s. 1467, Mar. 2023, doi: 10.3390/ELECTRONICS12061467.
• [15] B. Wang, G. Xiong, G. Gou, J. Song, Z. Li, ve Q. Yang, “Identifying DoH Tunnel Traffic Using Core Feathers and Machine Learning Method”, Proc. 2023 26th Int. Conf. Comput. Support. Coop. Work Des. CSCWD 2023, ss. 814–819, 2023, doi: 10.1109/CSCWD57460.2023.10152678.
• [16] A. Lal, A. Prasad, A. Kumar, ve S. Kumar, “DNS-Tunnet: A Hybrid Approach for DNS Tunneling Detection”, CTISC 2022 - 2022 4th Int. Conf. Adv. Comput. Technol. Inf. Sci. Commun., 2022, doi: 10.1109/CTISC54888.2022.9849774.
• [17] A. Khan ve I. Sharma, “AI-Enabled Approach for Preventing DNS Attacks on Banking Institutions”, 2023 IEEE Int. Conf. Res. Methodol. Knowl. Manag. Artif. Intell. Telecommun. Eng. RMKMATE 2023, 2023, doi: 10.1109/RMKMATE59243.2023.10369196.
• [18] N. Ishikura, D. Kondo, V. Vassiliades, I. Iordanov, ve H. Tode, “DNS Tunneling Detection by Cache-Property-Aware Features”, IEEE Trans. Netw. Serv. Manag., c. 18, sayı 2, ss. 1203–1217, Haz. 2021, doi: 10.1109/TNSM.2021.3078428.
• [19] M. Aiello, M. Mongelli, ve G. Papaleo, “Basic classifiers for DNS tunneling detection”, Proc. - IEEE Symp. Comput. Commun., ss. 880–885, 2013, doi: 10.1109/ISCC.2013.6755060.
• [20] J. Steadman ve S. Scott-Hayward, “DNSxD: Detecting Data Exfiltration over DNS”, 2018 IEEE Conf. Netw. Funct. Virtualization Softw. Defin. Networks, NFV-SDN 2018, Kas. 2018, doi: 10.1109/NFV-SDN.2018.8725640.
• [21] A. Moubayed, M. N. Injadat, ve A. Shami, “Optimized Random Forest Model for Botnet Detection Based on DNS Queries”, Proc. Int. Conf. Microelectron. ICM, c. 2020-December, Ara. 2020, doi: 10.1109/ICM50269.2020.9331819.
• [22] A. Dickson ve C. Thomas, “ATTACK DETECTION AVAILING FEATURE DISCRETION USING RANDOM FOREST CLASSIFIER”, Comput. Sci. Eng. An Int. J., c. 12, sayı 6, 2022, doi: 10.5121/cseij.2022.12611.
• [23] Z. F. Faruq, T. Mantoro, M. A. Catur Bhakti, ve Wandy, “Random Forest Classifier Evaluation in DDoS Detection System for Cyber Defence Preparation”, 2022 IEEE 8th Int. Conf. Comput. Eng. Des. ICCED 2022, 2022, doi: 10.1109/ICCED56140.2022.10010341.
• [24] R. Taguelmimt ve R. Beghdad, “DS-kNN: An Intrusion Detection System Based on a Distance Sum-Based K-Nearest Neighbors”, https://services.igi-global.com/resolvedoi/resolve.aspx?doi=10.4018/IJISP.2021040107, c. 15, sayı 2, ss. 131–144, Oca. 1M.S., doi: 10.4018/IJISP.2021040107.
• [25] D. S. Jodas, L. A. Passos, A. Adeel, ve J. P. Papa, “PL-k NN: A Parameterless Nearest Neighbors Classifier”, Int. Conf. Syst. Signals, Image Process., c. 2022-June, 2022, doi: 10.1109/IWSSIP55020.2022.9854445.
• [26] D. Chen, R. Ma, ve H. Du, “A fast incomplete data classification method based on representative points and K-nearest neighbors”, 2022 IEEE Conf. Telecommun. Opt. Comput. Sci. TOCS 2022, ss. 423–428, 2022, doi: 10.1109/TOCS56154.2022.10016185.
• [27] D. Wilborne, “Application of Decision Tree Classifier in Detection of Specific Denial of Service Attacks with Genetic Algorithm Based Feature Selection on NSL-KDD”, Eki. 2022, Erişim: 27 Haziran 2024. [Çevrimiçi]. Available at: https://arxiv.org/abs/2210.10232v1
• [28] J. Liu, S. Li, Y. Zhang, J. Xiao, P. Chang, ve C. Peng, “Detecting DNS Tunnel through Binary-Classification Based on Behavior Features”, içinde 2017 IEEE Trustcom/BigDataSE/ICESS, 2017, ss. 339–346. doi: 10.1109/Trustcom/BigDataSE/ICESS.2017.256.
• [29] S.-Y. Zhang, F.-T. Zou, L.-H. Wang, ve M. Chen, “Detecting DNS-based covert channel on live traffic”, J. China Inst. Commun., c. 34, sayı 5, ss. 143–151, 2013.
• [30] K. Riehl, M. Neunteufel, ve M. Hemberg, “Hierarchical confusion matrix for classification performance evaluation”, J. R. Stat. Soc. Ser. C Appl. Stat., c. 72, sayı 5, ss. 1394–1412, Ara. 2023, doi: 10.1093/JRSSSC/QLAD057.
• [31] A. Biswas, “Prayatul Matrix: A Direct Comparison Approach to Evaluate Performance of Supervised Machine Learning Models”, Eyl. 2022, Erişim: 27 Haziran 2024. [Çevrimiçi]. Available at: https://arxiv.org/abs/2209.12728v1