V říjnu 2025 jsme po roce intenzivního vývoje dokončili a předali Kraji Vysočina novou službu DNS PATROL. Projekt vznikl v rámci veřejné zakázky „Kybernetická bezpečnost KV – Bezpečný DNS systém“, kterou sdružení CZ.NIC realizovalo jako zhotovitel.
Cílem projektu bylo vytvořit moderní, robustní a bezpečný systém, který posílí ochranu DNS infrastruktury i uživatelů kraje před aktuálními kybernetickými hrozbami.
Projekt DNS PATROL není zatím dostupný pro veřejnost a jednotlivce. Je určen především pro organizace a firmy, které potřebují spolehlivou ochranu své infrastruktury a uživatelů před hrozbami v DNS prostoru. Naším cílem je nabídnout řešení, které kombinuje technologickou vyspělost, provozní jistotu a snadnou správu v jednom systému.
DNS PATROL vychází z architektury Knot Resolveru, jednoho z klíčových open source projektů sdružení CZ.NIC. Stejně jako on je i DNS PATROL modulární systém. Výkonné jádro zajišťuje překládání DNS dotazů a pokročilé funkce obstarávají samostatné moduly, které rozšiřují schopnost systému rozpoznávat hrozby a vytvářet různé bezpečnostní politiky zaměřené na škodlivé domény, phishing, malware nebo pokusy o zneužití DNS tunnelingu.
Aktuálně má DNS PATROL devět vlastních modulů, které představují samostatná řešení pro různé typy hrozeb. Každý z nich vytváří vlastní blocklist, který lze využít k realizaci bezpečnostní politiky organizace. Administrátor si může zvolit, zda bude výsledky používat pouze pro audit a vyhodnocování, zapojí je do aktivního řízení provozu, nebo je ponechá neaktivní. Systém je zároveň otevřený i pro integraci externích blocklistů z veřejných a komerčních zdrojů.
Dá se očekávat, že jejich počet bude s rozvojem služby dále růst, protože hrozby v DNS prostoru se neustále vyvíjejí a systém je koncipován tak, aby bylo možné moduly jednoduše přidávat nebo aktualizovat. Součástí systému je rovněž Threat Intelligence databáze (Denylisty CZ.NIC) a analytické nástroje projektu ADAM.
Obrázek 1 – Přehledová architektura služby DNS PATROL
Klíčovým prvkem služby je webová aplikace (WA), která umožňuje správcům a bezpečnostním týmům přehlednou správu whitelistů a blacklistů, nastavování politik i audit DNS provozu.
Díky log managementu a napojení na Passive DNS mohou administrátoři snadno analyzovat provoz a identifikovat potenciálně škodlivé aktivity.
Obrázek 2 – Webová aplikace (WA)
Kromě toho DNS PATROL nabízí i klientské aplikace pro Windows, iOS a Android, které zajišťují bezpečné připojení k DNS i pro uživatele cestující mimo síť chráněné organizace jako je v tomto případě Kraj Vysočina.
Obrázek 3 – Klientské aplikace
Jedním z nejzajímavějších prvků systému je modul využívající strojové učení a neuronové sítě. Vyvinuli jsme vlastní model pro detekci DNS tunnelingu, který byl trénován na rozsáhlém datasetu obsahujícím miliony reálných DNS záznamů. V základní fázi dosahoval model přibližně 95 procent přesnosti a po rozšíření tréninku o whitelisty, tedy příklady legitimního provozu, se úspěšnost detekce zvýšila na přesnost 98 procent na testovací sadě. Na dalším zlepšování tohoto modulu průběžně pracujeme, aby dokázal co nejlépe rozpoznávat skutečné útoky při zachování minimálního počtu falešných poplachů.
Na obrázku je vidět architektura neuronové sítě využívané při detekci DNS tunnelingu. Vstupní data procházejí několika vrstvami, ve kterých se pomocí nelineární funkce ReLU extrahují relevantní vlastnosti a provádí redukce dat (Max pooling). Následuje klasifikační část, která na základě naučených vzorců určuje, zda daný DNS provoz odpovídá běžné komunikaci nebo potenciálnímu útoku.
Na výstupu pak síť rozhoduje, zda se jedná o běžný DNS provoz (zelená) nebo o podezřelý tunelový přenos (červená).
Obrázek 4 – Architektura neuronové sítě
Provozní a analytická data systému jsou vizualizována v přehledných statistikách, které dávají administrátorům jedinečný pohled na stav a chování DNS infrastruktury. Tyto statistiky, vycházející z našich dlouholetých zkušeností s provozem služby ODVR, představují silný nástroj pro monitoring a strategické řízení bezpečnosti.
Obrázek 5 – Příklad statistik DNS provozu (ODVR)
DNS PATROL stojí na pevných základech našich dalších projektů – Knot Resolver, ADAM a ODVR, které tvoří pilíře českého DNS ekosystému. Z těchto služeb jsme převzali principy výkonu, stability a otevřenosti a rozšířili je o nástroje pro správu, analýzu a automatizaci.
Výsledkem je systém, který propojuje výzkum a praxi, open source technologie a bezpečnostní know-how. DNS PATROL dokazuje, že i veřejná správa může využívat moderní a efektivní nástroje pro obranu proti kybernetickým hrozbám a že bezpečnost DNS se může stát přirozenou součástí standardní infrastruktury.