Avaliação de estratégias para o aperfeiçoamento da detecção de anomalias no tráfego DNS

Mayara R. E. Santos; Raquel S. M. Santos; Italo V. S. Brito; Leobino N. Sampaio

doi:10.5753/sbrc_estendido.2025.8857

Mayara R. E. Santos UFBA
Raquel S. M. Santos UFBA
Italo V. S. Brito UFBA https://orcid.org/0000-0002-2669-2792
Leobino N. Sampaio UFBA http://orcid.org/0000-0003-4855-0936

DOI: https://doi.org/10.5753/sbrc_estendido.2025.8857

Resumo

A crescente complexidade das ameaças cibernéticas torna a detecção de anomalias no tráfego DNS essencial para a segurança da rede. Apesar de diversos estudos explorando o processo, a presença de falsos positivos continua sendo um desafio nas análises. Este trabalho buscou validar estratégias de detecção de anomalias DNS com baixas taxas de falsos positivos, utilizando informações de inteligência de ameaça e técnicas de análise de domínios aplicadas em trabalhos similares. A validação foi realizada com dados de fontes confiáveis, utilizados por outros autores. Os resultados, embora não tenham atendido às expectativas, indicam a necessidade de validar os dados e aplicar outras técnicas, aspectos que podem ser explorados em trabalhos futuros.

Palavras-chave: Cibesegurança, DNS, Redes de Computadores, Tunelamento DNS, Inteligência de Ameaça, MISP, Zeek

Referências

Alsabeh, A. (2021). P4-dga-multiclass. Github Repository. Acessed: March 19, 2025.

AlSabeh, A., Friday, K., Crichigno, J., and Bou-Harb, E. (2023). Effective dga family classification using a hybrid shallow and deep packet inspection technique on p4 programmable switches. In ICC 2023 - IEEE International Conference on Communications, pages 3781–3786.

AlSabeh, A., Friday, K., Kfoury, E., Crichigno, J., and Bou-Harb, E. (2024). On dga detection and classification using p4 programmable switches. Computers Security, 145:104007.

Ghodke, S. (2016). Alexa top 1 million sites: Rankings of the top 1 million websites in the world. Acessed: March 19, 2025.

Ishikura, N., Kondo, D., Vassiliades, V., Iordanov, I., and Tode, H. (2021). Dns tunneling detection by cache-property-aware features. IEEE Transactions on Network and Service Management, 18(2):1203–1216.

Kovar, R. (2015). Random words on entropy and dns. Splunk’s Website Article. Accessed: March 19, 2025.

Mahdavifar, S., Maleki, N., Lashkari, A. H., Broda, M., and Razavi, A. H. (2021). Classifying malicious domains using dns traffic analysis. In 2021 IEEE Intl Conf on Dependable, Autonomic and Secure Computing, Intl Conf on Pervasive Intelligence and Computing, Intl Conf on Cloud and Big Data Computing, Intl Conf on Cyber Science and Technology Congress (DASC/PiCom/CBDCom/CyberSciTech), pages 60–67.

Sharma, N. and Swarnkar, M. (2023). Optituned: An optimized framework for zero-day dns tunnel detection using n-grams. In Proceedings of the 23rd IEEE International Conference on Advanced Networks and Telecommunications Systems (ANTS), pages 1–6. IEEE.

Wang, Y., Zhou, A., Liao, S., Zheng, R., Hu, R., and Zhang, L. (2021). A comprehensive survey on dns tunnel detection. Computer Networks, 197:108322.