CO-DEFEND: Continuous Decentralized Federated Learning for Secure DoH-Based Threat Detection

要約

暗号化されたDNSトラフィック内で悪意のあるアクティビティを隠すために攻撃者によるHTTPS（DOH）トンネリングを介したDNSの使用は、ネットワークセキュリティに深刻な脅威をもたらします。これにより、悪意のあるアクターは従来の監視と侵入検知システムをバイパスしながら、従来の交通分析技術による検出を回避できます。
機械学習（ML）技術を使用して、DOHトンネルを検出できます。
ただし、それらの有効性は、良性と悪意のあるトラフィックの両方を含む大規模なデータセットに依存しています。
エンティティ全体でそのようなデータセットを共有することは、プライバシーの懸念のために困難です。
この作業では、複数のエンティティがデータプライバシーを維持し、単一の故障ポイントに対するレジリエンスを強化しながら、分散型フェデレーション学習（DFL）フレームワークである、Co-Defend（安全なDOHベースの脅威検出のための継続的な分散型連合学習）を提案します。
提案されたDFLフレームワークは、スケーラブルでプライバシーを提供するものであり、複数のエンティティがエンティティによって処理されているときにリアルタイムでローカルモデルをオンラインでトレーニングできるようにするフェデレーションプロセスに基づいています。
さらに、4つの古典的な機械学習アルゴリズム、サポートベクターマシン（SVM）、ロジスティック回帰（LR）、意思決定ツリー（DT）、およびランダムフォレスト（RF）をフェデレートシナリオに適応させ、その結果をニューラルネットワークなどのより計算的に複雑な代替品と比較します。
データセットCIRA-CIC-DOHBRW-2020を既存の機械学習アプローチと使用して、悪意のあるDOHトンネルとそれがもたらす利点を検出する際の有効性を実証することにより、提案された方法を比較します。

要約(オリジナル)

The use of DNS over HTTPS (DoH) tunneling by an attacker to hide malicious activity within encrypted DNS traffic poses a serious threat to network security, as it allows malicious actors to bypass traditional monitoring and intrusion detection systems while evading detection by conventional traffic analysis techniques. Machine Learning (ML) techniques can be used to detect DoH tunnels; however, their effectiveness relies on large datasets containing both benign and malicious traffic. Sharing such datasets across entities is challenging due to privacy concerns. In this work, we propose CO-DEFEND (Continuous Decentralized Federated Learning for Secure DoH-Based Threat Detection), a Decentralized Federated Learning (DFL) framework that enables multiple entities to collaboratively train a classification machine learning model while preserving data privacy and enhancing resilience against single points of failure. The proposed DFL framework, which is scalable and privacy-preserving, is based on a federation process that allows multiple entities to train online their local models using incoming DoH flows in real time as they are processed by the entity. In addition, we adapt four classical machine learning algorithms, Support Vector Machines (SVM), Logistic Regression (LR), Decision Trees (DT), and Random Forest (RF), for federated scenarios, comparing their results with more computationally complex alternatives such as neural networks. We compare our proposed method by using the dataset CIRA-CIC-DoHBrw-2020 with existing machine learning approaches to demonstrate its effectiveness in detecting malicious DoH tunnels and the benefits it brings.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google