Система обнаружения вторжений (СОВ) является важным элементом защиты корпоративной сети, анализирующим сетевой трафик и выявляющим кибератаки на сеть. Злоумышленники для совершения кибератак используют протокол DNS over HTTPS (DoH). В связи с распространением DoH-протокола обнаружение злоупотреблений DoH является важной и актуальной задачей. В работе представлен анализ современных методов обнаружения DoH. В соответствии с определенными критериями, для сравнительного анализа были выбраны семь работ. В исследовании рассмотрены алгоритмы и архитектуры методов обнаружения, а также наборы данных для обучения моделей. Особенность исследования заключается в том, что обнаружение злоупотреблений рассматривается на шифрованном трафике. По результатам сравнительного анализа сформированы задачи для будущих исследований.
< ... >
An intrusion detection system (IDS) is an important element of corporate network protection. IDS analyzes network traffic and detects cyber attacks on the network. Attackers use DNS over HTTPS (DoH) protocol to commit cyber attacks. Due to the spread of the DoH protocol, detection of DoH abuse is an important and relevant task. The paper presents an analysis of modern DoH detection methods. In accordance with certain criteria, seven works were selected for comparative analysis. The paper considered algorithms and architectures of detection methods, as well as data sets for training models. The peculiarity of this study is that abuse detection is considered on encrypted traffic. Based on the results of the comparative analysis, tasks for future research were formed.
Keywords:
Intrusion detection system, DNS, corporate network, cyber attack, abuse, DNS over HTTPS, traffic encryption, abuse detection method, dataset
Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»
