Detecting Malicious DNS over HTTPS (DoH) Connections via Machine Learning Techniques

مقدمة:

يركز هذا البحث على التهديدات الأمنية المرتبطة ببروتوكول DNS عبر HTTPS (DoH)، والذي تم تطويره لتعزيز خصوصية وأمان عمليات استعلام DNS. بالرغم من فوائده، يمكن استخدامه كقناة لتجاوز أنظمة الحماية التقليدية ونقل برمجيات خبيثة.

الهدف من البحث:

تطوير آلية للكشف عن الاتصالات الخبيثة عبر DoH باستخدام تقنيات تعلم آلي خاضعة للإشراف (Supervised ML). كما يقترح البحث عملية لاختيار السمات (features) بهدف تحسين الأداء وتقليل عدد السمات المستخدمة بنسبة 73%.

المنهجية:

تم استخدام مجموعة بيانات CIRA-CIC-DoHBrw-2020 التي تحتوي على سجلات لبيانات DoH الخبيثة والسليمة.

عدد السمات الكلي: 33 سمة. بعد التحليل، تم تقليصها إلى 9 سمات الأكثر أهمية.

تم تطبيق 12 خوارزمية تعلم آلي مختلفة مثل: Random Forest، Decision Tree، XGBoost، SVM، ANN وغيرها.

تم استخدام تقنيات اختيار السمات مثل: DT, RF, LR, Extra Trees, SVM, وغيرها لتحديد السمات المؤثرة.

تم التحقق من الأداء باستخدام التحقق المتقاطع (10-Fold Cross Validation) لمنع فرط التخصيص (overfitting).

النتائج:

أفضل أداء تم تحقيقه باستخدام خوارزمية LGBM بدقة وصلت إلى 99.9981%.

تقليص عدد السمات من 33 إلى 9 حسّن الأداء في نصف النماذج المستخدمة وقلل من الزمن الحسابي.

الخوارزميات مثل RF، XGBoost، Extra Tree أظهرت نتائج عالية.

تم تحليل نتائج التقييم باستخدام مؤشرات مثل: الدقة، الحساسية، النوعية، الدقة التنبؤية، ومعدل الإيجابيات الكاذبة.

الاستنتاج:

أثبتت الدراسة أن استخدام تقنيات التعلم الآلي يُعد نهجًا فعالًا للكشف عن اتصالات DoH الخبيثة، مع إمكانات واعدة في تحسين الأمن السيبراني على مستوى الشبكات. التوصية المستقبلية تتضمن تطبيق النموذج في بيئة حقيقية لاختبار فعاليته خارج بيئة المختبر.