Fsdc: flujo de muestras y compresión de dimensiones para una detección eficiente de túneles DNS-over-HTTPS
Autores: Mungwarakarama, Irénée; Wang, Yichuan; Hei, Xinhong; Song, Xin; Nyesheja, Enan Muhire; Turiho, Jean Claude
Idioma: Inglés
Editor: MDPI
Año: 2024
Acceso abierto
Artículo científico
2024
Fsdc: flujo de muestras y compresión de dimensiones para una detección eficiente de túneles DNS-over-HTTPS
Categoría
Ingeniería y Tecnología
Subcategoría
Ingeniería Eléctrica y Electrónica
Palabras clave
Propone
Enfoque
Conjunto de datos
Características
Compresión
Detección
Licencia
CC BY-SA – Atribución – Compartir Igual
Consultas: 17
Citaciones: Sin citaciones
Este documento propone un enfoque innovador capitalizado en las características distintivas de los faros de comando y control (C&C), a saber, los intervalos de tiempo y la frecuencia entre conexiones únicas consecutivas, para comprimir el conjunto de datos de flujo de red. Mientras que estudios previos sobre el mismo tema utilizaron una sola técnica, proponemos un enfoque multi-técnico para la detección eficiente de túneles de DoH. Utilizamos un conjunto de datos público de referencia, CIRA-CIC-DoHBrw-2020, que contiene más de un millón de propiedades de flujo de red y características estadísticas de DoH, túneles, DoH benignos y tráfico de navegación normal (HTTPS). Cada muestra está representada por 33 características con una marca de tiempo. Nuestra metodología combina visualizaciones de gráficos de estrella y gráficos de barras con técnicas de aprendizaje supervisado y no supervisado. El enfoque subraya la importancia de las características distintivas de los faros de C&C en la compresión de un conjunto de datos y la reducción de una dimensión de flujo al permitir la detección eficiente de túneles de DoH. A través de la compresión, el tamaño y las dimensiones originales del conjunto de datos se reducen aproximadamente en y respectivamente. Para el aprendizaje supervisado, RF emerge como el algoritmo de mejor rendimiento, logrando puntuaciones de precisión y recall del 100% cada uno, con un aumento de velocidad de veces más rápido en entrenamiento y en pruebas. Para modelos de detección de anomalías, OCSVM emerge como la elección más adecuada para este propósito, con precisión (88.89) y recall (100). Los modelos de gráfico de estrella y gráfico de barras también muestran una clara diferencia entre el tráfico normal y los túneles de DoH. La reducción en el tamaño y la dimensión de la muestra de flujo, manteniendo la precisión, promete para redes periféricas con recursos limitados y ayuda a los analistas de seguridad a interpretar modelos de aprendizaje automático complejos para identificar Indicadores de Compromiso (IoC).
Descripción
Este documento propone un enfoque innovador capitalizado en las características distintivas de los faros de comando y control (C&C), a saber, los intervalos de tiempo y la frecuencia entre conexiones únicas consecutivas, para comprimir el conjunto de datos de flujo de red. Mientras que estudios previos sobre el mismo tema utilizaron una sola técnica, proponemos un enfoque multi-técnico para la detección eficiente de túneles de DoH. Utilizamos un conjunto de datos público de referencia, CIRA-CIC-DoHBrw-2020, que contiene más de un millón de propiedades de flujo de red y características estadísticas de DoH, túneles, DoH benignos y tráfico de navegación normal (HTTPS). Cada muestra está representada por 33 características con una marca de tiempo. Nuestra metodología combina visualizaciones de gráficos de estrella y gráficos de barras con técnicas de aprendizaje supervisado y no supervisado. El enfoque subraya la importancia de las características distintivas de los faros de C&C en la compresión de un conjunto de datos y la reducción de una dimensión de flujo al permitir la detección eficiente de túneles de DoH. A través de la compresión, el tamaño y las dimensiones originales del conjunto de datos se reducen aproximadamente en y respectivamente. Para el aprendizaje supervisado, RF emerge como el algoritmo de mejor rendimiento, logrando puntuaciones de precisión y recall del 100% cada uno, con un aumento de velocidad de veces más rápido en entrenamiento y en pruebas. Para modelos de detección de anomalías, OCSVM emerge como la elección más adecuada para este propósito, con precisión (88.89) y recall (100). Los modelos de gráfico de estrella y gráfico de barras también muestran una clara diferencia entre el tráfico normal y los túneles de DoH. La reducción en el tamaño y la dimensión de la muestra de flujo, manteniendo la precisión, promete para redes periféricas con recursos limitados y ayuda a los analistas de seguridad a interpretar modelos de aprendizaje automático complejos para identificar Indicadores de Compromiso (IoC).