=Paper=
{{Paper
|id=Vol-2178/SSN2018_paper_22
|storemode=property
|title=Detecting Abnormal DNS Events and Attacks in Real-Time
|pdfUrl=https://ceur-ws.org/Vol-2178/SSN2018_paper_22.pdf
|volume=Vol-2178
|authors=Martín Panza
|dblpUrl=https://dblp.org/rec/conf/ssn/Panza18
}}
==Detecting Abnormal DNS Events and Attacks in Real-Time==
https://ceur-ws.org/Vol-2178/SSN2018_paper_22.pdf
Detecting Abnormal DNS Events and Attacks in
Real-Time
Martı́n Panza
martin@niclabs.cl
NIC Chile Research Labs
University of Chile
a la ocurrencia de fallas y diseño de variados ataques
contra las vulnerabilidades de la infraestructura. Re-
Abstract sulta imposible asegurar que se tiene completa seguri-
dad contra ataques o fallas de las que aún no se tiene
Along with the huge growth of Internet dur- conocimiento. Es más, en general la protección contra
ing the last decade, DNS has become a critical una amenaza se desarrolla luego de que se ha detec-
part of Internet itself that has equally grown tado una instancia de esta, se ha estudiado y se ha de-
and became more complex. Partly because of sarrollado una forma de combatirla; permitiendo por
the attacks and failures that it has undergone, mientras un periodo de vulnerabilidad. Por otro lado,
which have been studied and resolved. Due to aunque aumente la capacidad del sistema, el mismo
its importance, it is vital to be prepared for desarrollo tecnológico permite la ejecución de nuevos
those attacks that we already know as they are ataques, o mejoras de los ya conocidos, con nuevas
performed by more powerful sources as tech- magnitudes u objetivos.
nology advances. That is why detecting these Es por esto que el tema de detección automático
events properly on time would help combat de ataques en las redes ha tomado mucha relevancia
them. However, the volume of today’s DNS en estudios recientes. En particular para DNS, donde
data puts another barrier to this goal, making se centra este estudio, presenta especial importancia
more difficult to make detections. Moreover, para los operadores del sistema, quienes deben respon-
new attacks and events are always possible, der ante cualquier falla que generará sin dudas una
making the detection systems based on super- gran repercusión en los usuarios del sistema. Sin em-
vised training useless in these cases. This work bargo, cuando hablamos de DNS en el mundo real, nos
takes in account all of these issues to propose referimos a considerables volúmenes de datos, dada la
a real-time attack and abnormal events detec- enorme y creciente cantidad de usuarios que realizan
tor and its components; made and evaluated consultas constantemente. Esto dificulta la detección,
from big volume real DNS data, from chilean a la vez que exige automaticidad y eficiencia en tiempo
‘.cl’ top-level domain. real.
En este trabajo se propone una forma de abordar
1 Introducción dicho sistema capaz de detectar anomalı́as de forma
no supervisada y clasificarlas, comparando diferentes
Internet ha tenido un crecimiento considerable en
métodos dentro de sus componentes tanto en detec-
la última década innegablemente, y junto a él el sis-
ciones, como en eficiencia.
tema DNS, que se ha vuelto una parte vital en el fun-
cionamiento de Internet mismo. Junto a esto, DNS
se ha vuelto cada vez más complejo debido al desar- 2 Trabajo Relacionado
rollo tecnológico, surgimiento de necesidades, y debido Existen importantes trabajos realizados acerca de la
detección automática de anomalı́as y ataques en tráfico
Copyright c by the paper’s authors. Copying permitted for
private and academic purposes.
de red. Este tema está estrechamente relacionado con
In: Proceedings of the IV School of Systems and Networks
el tráfico de DNS pues presenta varias similitudes, y
(SSN 2018), Valdivia, Chile, October 29-31, 2018. Published varios tipos de ataques se encuentran en ambos tipos
at http://ceur-ws.org de tráfico. A pesar de que sı́ existen diferencias, resulta
�relevante observar las reglas y métodos que se evalúan validación del sistema. Para esto se hará uso de un
en estos estudios. simulador de consultas DNS con el que se cuenta:
La mayorı́a de los estudios realiza detecciones uti- Dnszeppelin-clickhouse. De esta forma, es posible re-
lizando aprendizaje supervisado, donde se entrega una alizar instancias de ataques en conjunto con el tráfico
instancia especı́fica de la amenaza al sistema y aprende normal de paquetes.
a reconocerla en instancias posteriores [ASB18].
Existen también sistemas implementados que es- 4 Trabajo a Desarrollar
tablecen ciertas reglas para encontrar diferentes tipos
El trabajo a desarrollar considera diferentes etapas
explı́citos de eventos anómalos, como lo son SNORT
independientes en implementación y evaluación, para
[Mar94] y BRO [Pax99]. Por otro lado, se encuen-
las cuales se probarán diferentes métodos en busca del
tra la detección de anomalı́as mediante el aprendizaje
mejor desempeño y eficiencia:
no supervisado, capaz de reconocer anomalı́as en ame-
nazadas no conocidas, principalmente mediante la de-
4.1 Procesamiento de Datos
tección de outliers [CMO12].
Respecto a DNS, existen estudios donde se anal- Dada la gran cantidad de datos que se obtienen para
iza y propone la forma de detectar ciertos ataques a cada uno de los múltiples servidores, es vital la de-
DNS de manera particular, como DoS [Fei+03], DDoS scripción correcta del sistema mediante agregaciones
[MR04] [DM03], Domain Fluxing [Yad+12], Botnet representativas de los paquetes DNS. De esta manera
Domains y Malware [MM14], o Kaminsky Cache Poi- se pretende procesar la mayor cantidad de información
soning [Mus+11]. Sin embargo, no existen estudios sin perder partes importantes de esta. Para esto, se
en profundidad respecto a aprendizaje no supervisado deberá agregar en base a diferentes llaves crı́ticas para
en DNS. Tampoco considerando grandes volúmenes la detección de ataques, como lo son por ejemplo: IP
de datos de consultas DNS, que corresponde en su de fuente (DoS, Spam, esparcimiento de Malware) y
mayorı́a al protocolo UDP y utiliza reglas y registros de destino (DoS, DDoS), consulta (Spam, PRSD), re-
particulares; en comparación a otros tipos de tráficos spuesta (Fallas en servidores, dominios no existentes),
de redes. tipo de registro DNS, o ubicación geográfica. Además,
De esta manera, el trabajo presentado a contin- agregación de los paquetes debe permitir la detección
uación pretende centrar el problema de la detección de nuevos ataques o eventos desconocidos. Esto resul-
automática de eventos anómalos en tráfico DNS de alto tará en múltiples series de tiempo que caracterizarán a
volumen, basándose en los sistemas diseñados para grandes rasgos el sistema, buscando cumplir con el ob-
tráfico de red, y las soluciones para ataques partic- jetivo inicial de realizar este procesamiento en tiempo
ulares de DNS. real.
3 Datos 4.2 Detección de Eventos Anómalos
Los datos a utilizar, corresponden a un mes de fun- Utilizando la descripción del sistema mediante
cionamiento normal de los servidores de NIC Chile. múltiples series de tiempo obtenidas a partir de agre-
Comenzando desde el 2 de octubre del 2017 hasta el 2 gación de paquetes, en base a la búsqueda de out-
de noviembre del mismo año. liers dentro de la serie temporal, se detectarán eventos
anómalos en el sistema. Esto con el objetivo de encon-
NIC Chile es el actual administrador del registro
trar también eventos de los que no necesariamente se
y servicio de nombres de dominio ‘.cl’, el dominio de
tenga conocimiento, bajo la premisa de que estos even-
nivel superior geográfico de Chile. Se cuenta con 17
tos alterarán la descripción del funcionamiento nor-
servidores anycast, para los cuales se tienen todos los
mal del sistema. Esta detección considerará algorit-
paquetes DNS de consultas y respuestas al servidor.
mos cuya complejidad no irrumpa el procesamiento en
Este set de datos es mayor a 1 TeraByte en volumen.
tiempo real.
Dado que los datos son reales en un funcionamiento
normal del sistema, toman suma importancia en el
4.3 Caracterización del Evento
análisis de este trabajo y da relevancia a los resulta-
dos en caso de que se les dé un uso aplicado. Por otro Al identificar el evento, será posible conseguir un
lado, al ser datos de carácter cotidiano, no aseguran timestamp que permita re-hacer una consulta a la base
que se tengan registros de los ataques o eventos que se de datos, obteniendo información más detallada en un
planean detectar. Esto requerirá una búsqueda de in- intervalo de tiempo que contenga al timestamp. Es
stancias de estos eventos en el set de datos. Además, importante mencionar que a partir de este paso puede
el set de datos requerirá una incorporación de ejem- realizarse una ejecución paralela que no interfiera con
plos de ataques para enriquecer el entrenamiento y la detección en tiempo real llevada a cabo hasta ahora.
�De esta forma se podrá volver a utilizar información International Conference on New Tech-
no agregada del evento para facilitar su futura clasi- nologies, Mobility and Security (NTMS)
ficación, incorporando nuevos atributos como carac- (Feb. 2018).
terı́sticas de los paquetes y comparación del contenido [CMO12] Pedro Casas, Johan Mazel, and Philippe
léxico de las consultas. Por otro lado, se podrá hacer Owezarski. “Unsupervised Network Intru-
una más fina agregación de IPs y paquetes, describi- sion Detection Systems: Detecting the Un-
endo series temporales más precisas. known without Knowledge”. In: Computer
Communications 35 (Apr. 2012).
4.4 Clasificación de Eventos
[DM03] Christos Douligeris and Aikaterini
Para validar los resultados obtenidos y evaluar el de- Mitrokotsa. “DDoS attacks and defense
sempeño del sistema, es necesario reconocer los even- mechanisms: classification and state-of-
tos de los que ya se tiene conocimiento; para verificar the-art”. In: Computer Networks: The
que efectivamente se esté detectando lo que se espera. International Journal of Computer and
Es por esto que, dadas las caracterı́sticas obtenidas Telecommunications Networking (Oct.
en el paso anterior, se utilizarán técnicas de clasifi- 2003).
cación para determinar el evento detectado. Sin em-
bargo, para la detección de eventos desconocidos, será [Fei+03] Laura Feinstein et al. “Statistical Ap-
necesario mantener una clase extra para marcar ciertos proaches to DDoS Attack Detection and
eventos como “anomalı́a no identificada”. Además, la Response”. In: Proceedings of the DARPA
resolución debe dar un grado de certeza para compro- Information Survivability Conference and
bar que se identifique una instancia correcta respecto Exposition (2003).
de la que se tiene conocimiento, y no una tan solo [Mar94] Roesch Martin. “SNORT - Lightweight In-
similar. Es decir, obtener una cifra que indique la se- trusion Detection For Networks”. In: Pro-
guridad con la que se da el resultado de la clasificación. ceedings of LISA ’99: 13th Systems Ad-
ministration Conference 2 (Nov. 1994).
5 Esquema del Sistema [MM14] Thomas Matthew and Aziz Mohaisen.
La figura a continuación representa a los compo- “Kindred Domains: Detecting and Clus-
nentes del sistema mencionados previamente junto a tering Botnet Domains Using DNS Traf-
su flujo de datos e interacción, de modo explicativo. fic”. In: WWW ’14 Companion Proceed-
ings of the 23rd International Conference
on World Wide Web (Apr. 2014).
[MR04] Jelena Mirkovic and Peter Reiher. “A tax-
onomy of DDoS attack and DDoS Defense
mechanisms”. In: ACM SIGCOMM Com-
puter Communication Review (Apr. 2004).
[Mus+11] Yasuo Musashi et al. “Detection of Kamin-
sky DNS Cache Poisoning Attack”. In:
Fourth International Conference on Intel-
ligent Networks and Intelligent Systems
(2011).
[Pax99] Vern Paxson. “Bro: a system for detecting
network intruders in real-time”. In: Com-
puter Networks 31 (Dec. 1999).
[Yad+12] Sandeep Yadav et al. “Detecting Algo-
rithmically Generated Domain-Flux At-
tacks With DNS Traffic Analysis”. In:
IEEE/ACM TRANSACTIONS ON NET-
References WORKING 20 (Oct. 2012).
[ASB18] Amjad Alsirhani, Srinivas Sampalli, and
Peter Bodorik. “DDoS Attack Detec-
tion System: Utilizing Classification Algo-
rithms with Apache Spark”. In: 9th IFIP
�