Comparative Analysis of DNS over HTTPS Detectors

DNS přes HTTPS (DoH) je protokol, který šifruje přenosy DNS, aby se zlepšilo soukromí a zabezpečení uživatelů. Jeho používání však také představuje výzvu pro provozovatele sítí a bezpečnostní analytiky, kteří potřebují zjišťovat a monitorovat síťový provoz pro bezpečnostní účely. Proto existuje několik návrhů detekce DoH, které využívají strojové učení k identifikaci spojení DoH; tyto návrhy však byly často testovány na různých souborech dat a jejich metodiky vyhodnocování nebyly dostatečně konzistentní, aby umožnily přímé srovnání výkonnosti. Znovu jsme vytvořili sedm návrhů detekce DoH a vyhodnotili je pomocí šesti různých experimentů, abychom zodpověděli výzkumné otázky, které se zaměřovaly na konkrétní scénáře nasazení týkající se přenositelnosti, použitelnosti a životnosti ML-modelů. Pro důkladné testování jsme použili velkou Sbírku datových sad DoH spolu s novou pětitýdenní datovou sadou, která umožnila vyhodnotit drift dat. Naše studie poskytuje přehled o současném stavu technik detekce DoH a může pomoci provozovatelům sítí a bezpečnostním analytikům vybrat nejvhodnější metodu pro jejich konkrétní potřeby.