Podrobný výpis o publikaci
2014
Detection of DNS Traffic Anomalies in Large Networks
ČERMÁK, Milan, Pavel ČELEDA a Jan VYKOPALZákladní údaje
Originální název
Detection of DNS Traffic Anomalies in Large Networks
Název česky
Detekce anomálií DNS provozu v rozsáhlých sítích
Autoři
ČERMÁK, Milan (203 Česká republika, garant, domácí), Pavel ČELEDA (203 Česká republika, domácí) a Jan VYKOPAL (203 Česká republika, domácí)
Vydání
Heidelberg, Advances in Communication Networking, Lecture Notes in Computer Science, Vol. 8846, od s. 215-226, 12 s. 2014
Nakladatel
Springer International Publishing
Další údaje
Jazyk
angličtina
Typ výsledku
Stať ve sborníku
Obor
Informatika
Stát vydavatele
Německo
Utajení
není předmětem státního či obchodního tajemství
Forma vydání
tištěná verze "print"
Odkazy
Kód RIV
RIV/00216224:14610/14:00073236
Organizace
Ústav výpočetní techniky – Masarykova univerzita – Repozitář
ISBN
978-3-319-13487-1
ISSN
UT WoS
000354693000020
Klíčová slova česky
systém doménových jmen; DNS; monitoring síťových toků; IPFIX; detekce anomálií; měření síťového provozu
Klíčová slova anglicky
domain name system; DNS; IP flow monitoring; IPFIX; traffic anomaly detection; internet measurements
Návaznosti
VG20132015103, projekt VaV.
Změněno: 1. 9. 2020 21:22, RNDr. Daniel Jakubík
V originále
Almost every Internet communication is preceded by a translation of a DNS name to an IP address. Therefore monitoring of DNS traffic can effectively extend capabilities of current methods for network traffic anomaly detection. In order to effectively monitor this traffic, we propose a new flow metering algorithm that saves resources of a flow exporter. Next, to show benefits of the DNS traffic monitoring for anomaly detection, we introduce novel detection methods using DNS extended flows. The evaluation of these methods shows that our approach not only reveals DNS anomalies but also scales well in a campus network.
Česky
Téměř každá síťová komunikace je předcházena překladem doménového jména na IP adresu. Měření a následná analýza DNS provozu může účinně rozšířit schopnosti současných metod pro detekci anomálií v celkovém síťovém provozu. Aby bylo možné tento provoz efektivně sledovat, navrhujeme v článku nový algoritmus pro sběr a export síťových toků šetřicí zdroje exportéru. Dále, abychom ukázali výhody monitorování DNS provozu pro detekci anomálií, představujeme nové detekční metody využívající síťové toky rozšířené o informace z DNS paketů. Z vyhodnocení těchto metod vyplývá, že navržený přístup umožňuje úspěšně detekovat anomálie v DNS provozu a to dokonce i v rozsáhlých, univerzitních sítích.