DNS firewall based on machine learning

Abstract

Nowadays there are many Domain Name Service (DNS) firewall solutions to prevent users to access malicious domains. These can provide real-time protection and block illegitimate communications. Most of these solutions are based on known malicious domain lists that are being constantly updated. However, in this way, it is only possible to block malicious communications for known malicious domains, leaving out many others that are malicious but have not yet been updated in the blocklists. This work intends to provide a DNS firewall solution based on Machine Learning (ML) to improve the detection of malicious DNS requests on the fly. For this purpose, a dataset with thirty-four features and 90000 records was created based on real DNS logs. The data will be enriched using Open Source Intelligence (OSINT) sources. The exploratory analysis and data preparations steps were carried and the final dataset submitted to different Supervised ML algorithms to accurately and timely classify if a domain request is malicious or not. The results show that the ML algorithms were able to classify the benign and malicious domains with accuracy rates between 89% and 96% and the time to test between 0.01 and 3.37 seconds which provides a valuable register to the scientific community which can be applied in firewall systems in order to increase the security analysis and performance.

Hoje em dia existem muitas soluções de firewall DNS (Sistema de Nomes de Domínio) para prevenir os utilizadores de acederem a domínios maliciosos. Estas podem fornecer proteção em tempo real e bloquear comunicações ilegítimas. A maioria destas soluções são baseadas em listas de domínios maliciosos já conhecidos que estão em constante atualização. No entanto, desta forma, só é possível bloquear comunicações maliciosas para domínios maliciosos já conhecidos, deixando de fora muitos outros que são maliciosos mas ainda não foram atualizados nas listas de bloqueio. Este trabalho pretende fornecer uma solução de firewall DNS baseada em Machine Learning (ML) para melhorar a deteção de pedidos maliciosos ao DNS em tempo real. Para isso, um conjunto de dados com trinta e quatro características e 90000 registos foi criado com base em logs de DNS reais. Os dados foram enriquecidos usando fontes abertas (OSINT). As fases de análise exploratória e preparação de dados foram realizadas e o conjunto de dados final foi submetido a diferentes algoritmos de ML supervisionados para classificar de forma precisa e oportuna se um domínio pedido ao serviço de DNS é malicioso ou não. Os resultados mostram que os algoritmos de ML foram capazes de classificar os domínios benignos e maliciosos com taxas de precisão entre 89% e 96% e o tempo de teste entre 0,01 e 3,37 segundos, o que fornece um registo valioso para a comunidade científica que pode ser aplicado em sistemas de firewall para melhorar o desempenho e a análise de segurança.