D 2014

Detection of DNS Traffic Anomalies in Large Networks

ČERMÁK, Milan; Pavel ČELEDA and Jan VYKOPAL

Basic information

Original name

Detection of DNS Traffic Anomalies in Large Networks

Name in Czech

Detekce anomálií DNS provozu v rozsáhlých sítích

Authors

ČERMÁK, Milan; Pavel ČELEDA and Jan VYKOPAL

Edition

Heidelberg, Advances in Communication Networking, Lecture Notes in Computer Science, Vol. 8846, p. 215-226, 12 pp. 2014

Publisher

Springer International Publishing

Other information

Language

English

Type of outcome

Proceedings paper

Field of Study

Informatics

Country of publisher

Germany

Confidentiality degree

is not subject to a state or trade secret

Publication form

printed version "print"

References:

Marked to be transferred to RIV

Yes

RIV identification code

RIV/00216224:14610/14:00073236

Organization

Ústav výpočetní techniky – Repository – Repository

ISBN

978-3-319-13487-1

ISSN

UT WoS

Keywords (in Czech)

systém doménových jmen; DNS; monitoring síťových toků; IPFIX; detekce anomálií; měření síťového provozu

Keywords in English

domain name system; DNS; IP flow monitoring; IPFIX; traffic anomaly detection; internet measurements

Links

VG20132015103, research and development project.
Changed: 1/9/2020 21:22, RNDr. Daniel Jakubík

Abstract

ORIG CZ

In the original language

Almost every Internet communication is preceded by a translation of a DNS name to an IP address. Therefore monitoring of DNS traffic can effectively extend capabilities of current methods for network traffic anomaly detection. In order to effectively monitor this traffic, we propose a new flow metering algorithm that saves resources of a flow exporter. Next, to show benefits of the DNS traffic monitoring for anomaly detection, we introduce novel detection methods using DNS extended flows. The evaluation of these methods shows that our approach not only reveals DNS anomalies but also scales well in a campus network.

In Czech

Téměř každá síťová komunikace je předcházena překladem doménového jména na IP adresu. Měření a následná analýza DNS provozu může účinně rozšířit schopnosti současných metod pro detekci anomálií v celkovém síťovém provozu. Aby bylo možné tento provoz efektivně sledovat, navrhujeme v článku nový algoritmus pro sběr a export síťových toků šetřicí zdroje exportéru. Dále, abychom ukázali výhody monitorování DNS provozu pro detekci anomálií, představujeme nové detekční metody využívající síťové toky rozšířené o informace z DNS paketů. Z vyhodnocení těchto metod vyplývá, že navržený přístup umožňuje úspěšně detekovat anomálie v DNS provozu a to dokonce i v rozsáhlých, univerzitních sítích.

Files attached

http://is.muni.cz/repo/1196643/dns-analysis-presentation-eunice2014.pdf Licence Creative Commons File version
http://is.muni.cz/repo/1196643/dns-analysis-paper-eunice2014.pdf Licence Creative Commons File version
https://is.muni.cz/publication/1196643/dns-analysis-paper-eunice2014.pdf Licence Creative Commons File version
https://is.muni.cz/publication/1196643/dns-analysis-presentation-eunice2014.pdf Licence Creative Commons File version