تجزیه و تحلیل آشوب شبکه منجر به تشخیص بهتر DDoS می شود

بازنشر افلاطون

دنبال: 0

اینترنت یک رسانه پر هرج و مرج است – بسته‌ها تمایل دارند از مجموعه‌ای از منابع توزیع شده یکنواخت به مقصدهای مختلفی سرازیر شوند.

با این حال، در طول یک حمله انکار سرویس توزیع شده (DDoS)، هرج و مرج ناگهان نظم بیشتری پیدا می کند: تعداد زیادی از دستگاه ها بسته های شبکه را به تعداد محدودی از آدرس ها در یک بازه زمانی کوچک ارسال می کنند. با تجزیه و تحلیل چنین تغییرات غیرعادی در آنتروپی اینترنت، گروهی از محققان آزمایشگاه ملی شمال غرب اقیانوس آرام (PNNL) گفتند که می توانند شناسایی 99 درصد از حملات DDoS با تنها 2 درصد نرخ مثبت کاذب به طور متوسط. آنها روش خود را با مجموعه ای از 10 الگوریتم استاندارد مقایسه کردند که مشخص شد فقط 52 درصد از حملات به طور متوسط و 62 درصد از حملات در بهترین سناریو.

عمر سوباسی، دانشمند کامپیوتر در PNNL و نویسنده، می گوید: الگوریتم - که محققان آن را "تشخیص حمله DDoS از طریق تجزیه و تحلیل دیفرانسیل آنتروپی تعمیم یافته" یا DoDGE نامیدند - نسبت به سایر اقدامات دقیق تر و کمتر مستعد شناسایی نادرست حمله است. مقاله ای در مورد موضوع ارائه شده به کنفرانس بین المللی IEEE در مورد امنیت سایبری و انعطاف پذیری.

او می‌گوید: «در شرایط عادی، ترافیک از فرستنده و گیرنده به خوبی توزیع می‌شود و این سطح آنتروپی نسبتاً پایدار باقی می‌ماند. با این حال، در سناریوهای حمله، ما عدم تعادل بین فرستنده و گیرنده را تشخیص می دهیم. با تعیین کمیت این تغییرات در طول زمان و درجه تغییر، ما قادر به شناسایی حملات مداوم هستیم.

در حالی که حملات باج‌افزار و ایمیل تجاری (BEC) بیشترین توجه را از سوی گروه‌های امنیتی به خود جلب می‌کنند، حملات DDoS همچنان بیشترین تأثیر را برای مشاغل دارند. طبق گزارش سالانه Verizon، در چهار سال گذشته، حملات DDoS بیشترین سهم از حوادث امنیتی گزارش شده توسط شرکت ها را به خود اختصاص داده است.گزارش تحقیقات نقض داده ها"

نمودارهای مجموعه داده های DDoS — مجموعه داده ها تفاوت آنتروپی بین ترافیک خوش خیم (بالا سمت چپ)، یک حمله (بالا سمت راست)، و دو رویداد فلش ناشی از مسابقات فوتبال را نشان می دهد. منبع: آزمایشگاه ملی شمال غرب اقیانوس آرام

آلن وست، محقق در Akamai می‌گوید، روش‌های بهتر تشخیص می‌تواند به کسب‌وکارها کمک کند سریع‌تر به حملات واکنش نشان دهند و اقدامات متقابل بهتری انجام دهند.

او می‌گوید: «تأیید اینکه آیا در حال حاضر یک حمله DDoS در حال انجام است یا خیر، به مدافعان این امکان را می‌دهد تا با اطمینان مکانیزم‌های دفاعی هدفمند، مانند فیلتر کردن دقیق ترافیک و سایر خدمات حفاظتی خاص DDoS را مستقر کنند.» همچنین سازمان هدف را قادر می‌سازد تا اطلاعات بیشتری در مورد حادثه جمع‌آوری کند که از نقطه نظر اطلاعاتی ارزشمند است، که ممکن است به آنها اجازه دهد منبع یا دلیل پشت حملات را استنباط کنند.»

هرج و مرج اینترنت طبیعی است

رایج ترین رویکرد برای شناسایی حملات انکار سرویس (DoS) ایجاد یک آستانه است. - پهنای باند یا تعداد بسته بالا که بالاتر از آن افزایش ترافیک به عنوان یک حمله در نظر گرفته می شود. تحقیقات PNNL به جای آن، آنتروپی ترافیک شبکه را اندازه‌گیری می‌کند، به‌ویژه بر نحوه تغییر دو معیار آنتروپی تمرکز می‌کند: در هدف، درخواست‌ها برای یک منبع خاص در طول حمله DDoS افزایش می‌یابد که منجر به آنتروپی کمتر می‌شود، در حالی که تعداد منابع افزایش می‌یابد و آنتروپی را افزایش می‌دهد. .

به گفته کوین بارکر، محقق اصلی PNNL، محققان با بررسی تغییرات کوچک در طول زمان، بین موج‌های ترافیک قانونی - به اصطلاح «رویدادهای فلش» - و حملات واقعی تفاوت قائل شدند.

او می‌گوید: «فقط برخی از کارهای موجود حتی سعی می‌کنند این مشکل تمایز را برطرف کنند. راه‌حل‌های جایگزین یا از آستانه‌ها استفاده می‌کنند یا مبتنی بر ML/AI هستند که به داده‌های بزرگ نیاز دارند و برای انطباق با آنها آموزش و بازآموزی پرهزینه‌ای را به همراه دارند.

به گفته Akamai's West، توانایی تمایز سریع بین یک حمله واقعی و افزایش ترافیک قانونی به دلیل، به عنوان مثال، یک رویداد خبری یا محتوای ویروسی، برای تعیین پاسخ بسیار مهم است.

وست می گوید: «با حمله DDoS، تلاش برای شناسایی و مسدود کردن ترافیک مخرب و در عین حال حفظ ترافیک قانونی، اولویت اصلی خواهد بود. با این حال، با «رویدادهای ناگهانی»، می‌توان اقدامات مختلفی را انجام داد تا بدون اتخاذ تدابیر تهاجمی‌تر، این بار را تا حد امکان با ظرافت اداره کرد.»

مثبت های کاذب هنوز باید سقوط کنند

به گفته محققان، تشخیص حملات DDoS مبتنی بر آنتروپی با روش‌های مبتنی بر آستانه، با نرخ نسبتاً کمی از طبقه‌بندی نادرست محتوای قانونی (که به عنوان مثبت کاذب شناخته می‌شود) به طور قابل توجهی بهبود می‌یابد. این روش دارای نرخ مثبت کاذب کمتر از 7 درصد در همه موارد و کمتر از 2 درصد به طور متوسط در 10 مجموعه داده دنیای واقعی بود.

پاتریک دوناهو، معاون محصول در Cloudflare می‌گوید: با این حال، برای اینکه چنین تکنیک‌هایی در دنیای واقعی مفید باشند، باید نرخ مثبت کاذب نزدیک به صفر داشته باشند.

او می‌گوید: «در طول سال‌ها، تکنیک‌های تحقیقاتی منتشر شده را دیده‌ایم که به نظر می‌رسد در پارامترهای باریک تعریف‌شده آزمایشگاه به خوبی کار می‌کنند، اما مؤثر نیستند یا قادر به مقیاس‌بندی نیستند». به عنوان مثال، نرخ‌های مثبت کاذب که مشتریان در دنیای واقعی تحمل می‌کنند و نرخ‌های نمونه‌برداری مورد نیاز برای شناسایی در مقیاس، اغلب با آنچه در آزمایشگاه قابل قبول است، تفاوت اساسی دارند.

محققان PNNL تاکید می‌کنند که الگوریتم‌های آن‌ها تطبیقی هستند، بنابراین می‌توان با کاهش دقت در تشخیص حمله، نرخ مثبت کاذب را به حداقل رساند. علاوه بر این، در سناریوهای دنیای واقعی، می توان از داده های اضافی برای تقویت الگوریتم اصلی استفاده کرد.

بارکر از PNNL در اعلامیه آزمایشگاه اعلام کرد، از آنجایی که از دیدگاه محاسباتی نسبتاً سبک است، الگوریتم DoDGE می‌تواند مزایایی برای ایجاد زیرساخت‌های انعطاف‌پذیر برای شبکه‌های 5G داشته باشد که انتظار می‌رود تعداد دستگاه‌های متصل را به میزان قابل توجهی افزایش دهد.

بارکر می‌گوید: «با تعداد زیاد دستگاه‌ها و سیستم‌های متصل به اینترنت، فرصت‌های بسیار بیشتری نسبت به قبل برای حمله به سیستم‌ها وجود دارد. و دستگاه‌های بیشتری مانند سیستم‌های امنیتی خانه، حسگرها و حتی ابزارهای علمی هر روز به شبکه‌ها اضافه می‌شوند. ما باید هر کاری که می توانیم انجام دهیم تا این حملات را متوقف کنیم.»