| Título: | Uma abordagem do energy-based flow classifier na identificação de tunelamento sobre DNS |
| Autor(es): | Santos, Maria Eduarda Carvalho |
| Orientador(es): | Gondim, João José Costa |
| Assunto: | Exfiltração de dados
Aprendizado de máquina
Sistemas de Nomes de Domínio (DNS) |
| Data de apresentação: | 18-Jul-2025 |
| Data de publicação: | 13-Nov-2025 |
| Referência: | SANTOS, Maria Eduarda Carvalho. Uma abordagem do energy-based flow classifier na identificação de tunelamento sobre DNS. 2025. 65 f., il. Trabalho de Conclusão de Curso (Bacharelado em Ciência da Computação) — Universidade de Brasília, Brasília, 2025. |
| Resumo: | Aexfiltraçãodedadosemredeéumatécnicaamplamenteutilizadaporagentesmaliciosos para extrair informações sensíveis de sistemas corporativos, representando uma ameaça significativa à confidencialidade, integridade e disponibilidade das organizações. Entre os diversos métodos empregados, o tunelamento sobre Sistemas de Nomes de Domínio (DNS) destaca-se por utilizar o protocolo DNS, fundamental para a operação da internet, como canal encoberto para a transferência de dados, dificultando a detecção por mecanismos tradicionais de segurança. Neste contexto, este trabalho propõe uma abordagem de detecção baseada no modelo de aprendizado de máquina supervisionado denominado Energy-based Flow Classifier (EFC). O EFC é um classificador de inferência estatística baseado na Inversa de Potts, projetado para identificar anomalias em rede a partir de atributos extraídos de registros de fluxo. Foram utilizados três conjuntos de dados distintos, sendo dois deles rotulados e o terceiro empregado como demonstrativo de rotulação supervisionada. Adicionalmente, o estudo realiza comparações entre o EFC e um modelo não supervisionado baseado em Self-Organizing Maps (SOM), bem como com o algoritmo Random Forest, uma técnica clássica amplamente utilizada. Os resultados obtidos mostram que o EFC alcança uma média de acurácia superior a 90% nos processos de treinamento e teste, além de apresentar desempenho competitivo frente ao Random Forest, consolidando-se como uma solução eficaz para detecção de tunelamento sobre DNS e mitigação de exfiltração de dados em redes. |
| Abstract: | Data exfiltration over networks is a technique widely employed by malicious actors to extract sensitive information from corporate systems, posing a serious threat to the confidentiality, integrity, and availability of organizational assets. Among the various methods used,DomainNameSystem(DNS)tunnelingstandsoutforexploitingtheDomain Name System (DNS) — a core component of internet infrastructure—as a covert channel for data transfer, which makes it difficult to detect using traditional security mechanisms. In this context, this study proposes a detection approach based on a supervised machine learning model called the Energy-based Flow Classifier (EFC). The EFC is a statistical inference classifier based on the inverse Potts model, designed to identify network anomalies from attributes extracted from flow records. The evaluation involved three distinct datasets, two of which were labeled, while the third was used as a demonstration for supervised labeling. Furthermore, the study performs a comparative analysis between the EFC and an unsupervised model based on Self-Organizing Maps (SOM), as well as the well-established Random Forest (RF) algorithm. Experimental results show that the EFC achieves an average accuracy of over 90% during training and testing, exhibiting competitive performance against Random Forest and demonstrating its effectiveness as a solution for detecting DNS tunneling and mitigating data exfiltration in networks. |
| Informações adicionais: | Trabalho de Conclusão de Curso (graduação) — Universidade de Brasília, Instituto de Ciências Exatas, Departamento de Ciência da Computação, 2025. |
| Licença: | A concessão da licença deste item refere-se ao termo de autorização impresso assinado pelo autor que autoriza a Biblioteca Digital da Produção Intelectual Discente da Universidade de Brasília (BDM) a disponibilizar o trabalho de conclusão de curso por meio do sítio bdm.unb.br, com as seguintes condições: disponível sob Licença Creative Commons 4.0 International, que permite copiar, distribuir e transmitir o trabalho, desde que seja citado o autor e licenciante. Não permite o uso para fins comerciais nem a adaptação desta. |
| Aparece na Coleção: | Ciência da Computação
Ciência da Computação
|
Todos os itens na BDM estão protegidos por copyright. Todos os direitos reservados.
