Predicción de tráfico DNS para detección de eventos anómalos

Abstract

El sistema de nombres de dominio (DNS) es, hoy en día, un elemento fundamental para el funcionamiento de todo Internet. Posee la tarea de traducir entre nombres de dominio y direcciones IP. Si se perdiese esta funcionalidad, no seríamos capaces de encontrar fácilmente, por ejemplo, los servicios web que frecuentamos y de los que dependemos (puesto que los humanos en general recuerdan mejor nombres que números). Es por esto que resulta de vital importancia asegurar el correcto funcionamiento de este sistema. Ante la existencia de eventos maliciosos que amenazan las tareas del sistema DNS, la detección automática de anomalías toma especial relevancia. En la medida que se perciba a tiempo un evento malicioso, se podrán tomar medidas rápidas y eficientes que mitiguen o anulen el daño. La mayoría de los sistemas de detección se basan en aprendizaje supervisado. Esto es, buscar nuevas instancias de las amenazas que ya se conocen. Por otro lado, el aprendizaje no-supervisado se fundamenta en la búsqueda de patrones y cambios en el estado del sistema. Lo que permite también, en teoría, encontrar instancias de eventos de los que no se tiene previo conocimiento. Este trabajo se centra en el enfoque no-supervisado para desarrollar un sistema de detección de eventos anómalos en tráfico DNS, mediante el uso de técnicas de Machine Learning. Estas herramientas se entrenan para aprender lo que corresponde a un comportamiento normal del sistema, haciendo posible predecir qué es lo que debería ocurrir en el futuro bajo un contexto normal. Observar una gran diferencia entre los valores reales y lo esperado por el modelo, señalaría la presencia de una anomalía. Así, aprovechando los patrones periódicos de comportamiento humano presentes en DNS, se entrena un modelo de red neuronal recurrente para predecir tráfico DNS. Aplicando una heurísticasobreloserroresobtenidos,elobjetivodeestetrabajoesevaluardichatécnicacomo detector de eventos anómalos, con el propósito de aumentar la seguridad en un servidor DNS particular, correspondiente al dominio de nivel superior de código de país (ccTLD) de Chile: .cl. Para esto, se recopiló el tráfico perteneciente a este servidor, ubicado en Santiago, Chile, durante un mes completo de su funcionamiento normal en el año 2017. Más precisamente, todas las consultas recibidas y respuestas enviadas durante aquel periodo. El sistema propuesto fue validado a través experimentos donde fue sometido a un conjunto de ataques emulados sobre tráfico DNS real, evaluando su capacidad de detección. La agregación de la información en múltiples series de tiempo, en conjunto con las predicciones de comportamiento normal de estas agregaciones permitieron detectar los ataques emulados con alto recall (exhaustividad), de acuerdo a un threshold (umbral) determinado. No obstante, el procedimiento permitió revelar además, anomalías no-etiquetadas presentes en los datos que corresponden a eventos de carácter malicioso.