D
2014
Detection of DNS Traffic Anomalies in Large Networks
ČERMÁK, Milan, Pavel ČELEDA and Jan VYKOPAL
Basic information
Original name
Detection of DNS Traffic Anomalies in Large Networks
Name in Czech
Detekce anomálií DNS provozu v rozsáhlých sítích
Authors
ČERMÁK, Milan (203 Czech Republic, guarantor, belonging to the institution), Pavel ČELEDA (203 Czech Republic, belonging to the institution) and Jan VYKOPAL (203 Czech Republic, belonging to the institution)
Edition
Heidelberg, Advances in Communication Networking, Lecture Notes in Computer Science, Vol. 8846, p. 215-226, 12 pp. 2014
Publisher
Springer International Publishing
Other information
Type of outcome
Stať ve sborníku
Field of Study
Informatics
Country of publisher
Germany
Confidentiality degree
není předmětem státního či obchodního tajemství
Publication form
printed version "print"
RIV identification code
RIV/00216224:14610/14:00073236
Organization
Ústav výpočetní techniky – Repository – Repository
Keywords (in Czech)
systém doménových jmen; DNS; monitoring síťových toků; IPFIX; detekce anomálií; měření síťového provozu
Keywords in English
domain name system; DNS; IP flow monitoring; IPFIX; traffic anomaly detection; internet measurements
Links
VG20132015103, research and development project.
V originále
Almost every Internet communication is preceded by a translation of a DNS name to an IP address. Therefore monitoring of DNS traffic can effectively extend capabilities of current methods for network traffic anomaly detection. In order to effectively monitor this traffic, we propose a new flow metering algorithm that saves resources of a flow exporter. Next, to show benefits of the DNS traffic monitoring for anomaly detection, we introduce novel detection methods using DNS extended flows. The evaluation of these methods shows that our approach not only reveals DNS anomalies but also scales well in a campus network.
In Czech
Téměř každá síťová komunikace je předcházena překladem doménového jména na IP adresu. Měření a následná analýza DNS provozu může účinně rozšířit schopnosti současných metod pro detekci anomálií v celkovém síťovém provozu. Aby bylo možné tento provoz efektivně sledovat, navrhujeme v článku nový algoritmus pro sběr a export síťových toků šetřicí zdroje exportéru. Dále, abychom ukázali výhody monitorování DNS provozu pro detekci anomálií, představujeme nové detekční metody využívající síťové toky rozšířené o informace z DNS paketů. Z vyhodnocení těchto metod vyplývá, že navržený přístup umožňuje úspěšně detekovat anomálie v DNS provozu a to dokonce i v rozsáhlých, univerzitních sítích.
Displayed: 20/10/2024 09:41