Tunneling:Service Agreemement CTU-UNCUYO-2019

CARLOS A. CATANIA

2019-07-01

2019-08-01

Comunicaciones-Telecomunicaciones

Se trata de un servicio que fue realizado para la Universidad Técnica de República Checa en Praga (CTU), con el objeto de desarrollar un algoritmo basado en técnicas de aprendizaje automático para la detección de comunicaciones no autorizadas a través de los servidores de nombres de dominio (DNS). El DNS es un protocolo fundamental dentro del funcionamiento de Internet, el mismo fue desarrollado para la resolución de nombres, pero durante los últimos años se han desarrollado algunos enfoques para utilizarlo para la transferencia de datos. El DNS Tunneling es un método en el que los datos se codifican dentro de las consultas DNS, lo que permite el intercambio de información a través del DNS. Esta característica es atractiva para los hackers que explotan el método DNS Tunneling para establecer una comunicación bidireccional con máquinas infectadas con malware con el objetivo de exfiltrar datos o enviar instrucciones de forma ofuscada. Para la detección de estas amenazas de forma rápida y precisa, se desarrolló un enfoque de detección basado en una Red Neural Convolucional (CNN) con una complejidad de arquitectura mínima. Debido a la falta de conjuntos de datos de calidad para evaluar las conexiones de DNS Tunneling, también fue necesario la construcción y descripción detallada de un novedoso conjunto de datos que contiene dominios de DNS Tunneling generados con cinco conocidas herramientas de DNS. El algoritmo desarrollado para la CTU, fue luego incorporado al proveedor de servicio de nombres de dominios (DNS) de República Checa Whalebone.(https://whalebone.io) como parte de su paquete de herramientas de ciberseguridad.