Consiglio Nazionale delle Ricerche

Tipo di prodottoArticolo in rivista
TitoloProfiling DNS tunneling attacks with PCA and mutual information
Anno di pubblicazione2016
FormatoElettronico
Autore/iMaurizio Aiello, Maurizio Mongelli, Enrico Cambiaso, Gianluca Papaleo
Affiliazioni autoriNational Research Council, CNR-IEIIT - via De Marini, 6 - 16149 - Genoa, Italy.
Autori CNR e affiliazioni
  • ENRICO CAMBIASO
  • MAURIZIO AIELLO
  • MAURIZIO MONGELLI
  • GIANLUCA PAPALEO
Lingua/e
  • inglese
AbstractThe use of covert-channel methods to bypass security policies or leak sensitive data has increased in the last years. Malicious users neutralize security restriction through protocol encapsulation, tunneling peer-to-peer, chat, or HTTP packets into allowed protocols such as DNS or HTTP. In this article, we propose an innovative profiling system for DNS tunnels that is based on Principal Component Analysis and Mutual Information. Results from experiments conducted on a live network show that one of the introduced metric is able to characterize anomalies on small DNS servers, while the other behaves better on medium sized servers. Concerning DNS tunneling attacks, the proposed approach reveals to be an efficient tool for traffic profiling in the presence of DNS tunneling.
Lingua abstractinglese
Altro abstract-
Lingua altro abstract-
Pagine da1
Pagine a14
Pagine totali14
RivistaLogic journal of the IGPL (Print)
Attiva dal 1997
Editore: Oxford University Press, - Oxford
Paese di pubblicazione: Regno Unito
Lingua: inglese
ISSN: 1367-0751
Titolo chiave: Logic journal of the IGPL (Print)
Titolo proprio: Logic journal of the IGPL. (Print)
Titolo abbreviato: Log. j. IGPL (Print)
Titolo alternativo: Logic journal of the Interest Group in Pure and Applied Logics (Print)
Numero volume della rivista24
Fascicolo della rivista5
DOI10.1093/jigpal/jzw056
Verificato da refereeSì: Internazionale
Stato della pubblicazionePublished version
Indicizzazione (in banche dati controllate)-
Parole chiaveTunneling, covert channel, intrusion detection, ids, characterization, DNS protocol.
Link (URL, URI)http://jigpal.oxfordjournals.org/content/early/2016/09/13/jigpal.jzw056.full.pdf+html
Titolo parallelo-
Data di accettazione-
Note/Altre informazioni-
Strutture CNR
  • IEIIT — Istituto di elettronica e di ingegneria dell'informazione e delle telecomunicazioni
Moduli CNR
    Progetti Europei-
    Allegati