A hálózati káosz elemzése jobb DDoS-észlelést eredményez

Az internet egy kaotikus médium – a csomagok általában egyenletesen elosztott forráskészletről áramlanak különféle célhelyekre.

Egy elosztott szolgáltatásmegtagadási (DDoS) támadás során azonban a káosz hirtelen rendezettebbé válik: nagyszámú eszköz küld hálózati csomagokat korlátozott számú címre rövid időn belül. Az internet entrópiájában bekövetkezett ilyen szokatlan változások elemzésével a Pacific Northwest National Laboratory (PNNL) kutatócsoportja azt mondta, hogy azonosítja a DDoS támadások 99%-át átlagosan mindössze 2%-os téves pozitív aránnyal. Módszerüket összehasonlították egy 10 szabványos algoritmussal, amelyek azonosították csak A támadások átlagosan 52%-a, legjobb esetben pedig a támadások 62%-a.

Omer Subasi, a PNNL informatikusa és szerzője szerint az algoritmus – amelyet a kutatók „DDoS-támadás-észlelésnek az általános entrópia differenciálelemzésével” vagy DoDGE-nek neveztek – pontosabb és kevésbé hajlamos a támadások hamis azonosítására, mint más intézkedések. a témában bemutatott dolgozatról IEEE Nemzetközi Kiberbiztonsági és Kiberbiztonsági Konferencia.

„Normál körülmények között a küldők és a vevők felől érkező forgalom viszonylag jól eloszlik, és ez az entrópia szintje meglehetősen stabil marad” – mondja. „Támadási forgatókönyvek esetén azonban egyensúlyhiányt észlelünk a küldők és a fogadók között. Ha számszerűsítjük, hogyan változik ez az idő múlásával és a változás mértéke, képesek vagyunk azonosítani a folyamatban lévő támadásokat.”

Míg a zsarolóvírusok és az üzleti e-mail-kompromisszum (BEC) támadások általában a biztonsági csoportok legnagyobb figyelmét, a DDoS támadások továbbra is a leghatékonyabbak a vállalkozások számára. Az elmúlt négy évben a DDoS-támadások tették ki a vállalatok által jelentett biztonsági incidensek legnagyobb részét a Verizon éves „Adatsértési vizsgálatok jelentése. "

A jobb észlelési módszerek segíthetik a vállalkozásokat abban, hogy gyorsabban reagáljanak a támadásokra, és jobb ellenintézkedéseket alkalmazzanak – mondja Allen West, az Akamai kutatója.

„Az, hogy megbizonyosodhatunk arról, hogy jelenleg zajlik-e DDoS támadás, lehetővé teszi a védők számára, hogy magabiztosan telepítsenek célzott védelmi mechanizmusokat, például precíz forgalomszűrést és egyéb DDoS-specifikus védelmi szolgáltatásokat” – mondja. "Ez arra is felhatalmazza a célszervezetet, hogy több, titkosszolgálati szempontból értékes információt gyűjtsön az incidensről, ami lehetővé teszi számukra, hogy következtessenek a támadások forrására vagy okára."

Az internetes káosz normális

A szolgáltatásmegtagadási (DoS) támadások észlelésének legáltalánosabb módja egy küszöb létrehozása. - a legnagyobb sávszélesség vagy csomagszám, amely felett a forgalom megugrása támadásnak minősül. A PNNL-kutatás ehelyett a hálózati forgalom entrópiáját méri, különös tekintettel arra, hogyan változik az entrópia két mértéke: A célpontnál egy adott erőforrás iránti kérelmek nőnek DDoS támadás során, ami kisebb entrópiához vezet, miközben a források száma nő, ami növeli az entrópiát. .

Az idő múlásával bekövetkezett apró változásokat vizsgálva a kutatók különbséget tettek a törvényes forgalom – az úgynevezett „flash események” – és a tényleges támadások között, mondja Kevin Barker, a PNNL vezető kutatója.

„Csak a meglévő munkák egy része próbálja meg kezelni ezt a differenciálási problémát” – mondja. "Az alternatív megoldások vagy küszöbértékeket használnak, vagy ML/AI-alapúak, amelyek nagy adatmennyiséget igényelnek, és költséges képzést és átképzést igényelnek az alkalmazkodáshoz."

Az Akamai's West szerint az a képesség, hogy gyorsan különbséget tudjunk tenni a valódi támadás és a jogszerű forgalom, például egy híresemény vagy vírusos tartalom miatti megugrása között, elengedhetetlen a válasz meghatározásához.

"DDoS támadás esetén a rosszindulatú forgalom azonosítására és blokkolására irányuló erőfeszítések a legális forgalom megtartása mellett a fő prioritás lesz" - mondja West. „A „flash események” esetében azonban különböző lépéseket lehet tenni ennek a terhelésnek a lehető legkegyelmesebb kezeléséhez anélkül, hogy agresszívebb intézkedéseket tennénk.”

A hamis pozitívumok még mindig esnek

A DDoS támadások entrópia alapú észlelése jelentősen javul a küszöb alapú módszerekkel, a kutatók szerint viszonylag kis arányban osztályozzák a jogos tartalmat (ezt hamis pozitívnak nevezik). A technika minden esetben 7%-nál kevesebb téves pozitív eredményt mutatott, és 2 valós adathalmaz átlagában kevesebb, mint 10%.

Ám ahhoz, hogy a való világban hasznosak legyenek, az ilyen technikáknak nullához közelítő hamis pozitív arányt kell mutatniuk – mondja Patrick Donahue, a Cloudflare termékért felelős alelnöke.

"Az évek során olyan kutatási technikákat publikáltak, amelyek jól működnek a laboratórium szűken meghatározott paraméterei között, de nem hatékonyak vagy nem skálázhatók" - mondja. „Például az ügyfelek valós világban tolerálható hamis pozitív arányok és a nagyarányú észleléshez szükséges mintavételi gyakoriságok gyakran lényegesen eltérnek a laboratóriumban elfogadhatótól.”

A PNNL kutatói hangsúlyozzák, hogy algoritmusaik adaptívak, így a téves pozitív esetek aránya minimálisra csökkenthető, ha feláldoznak némi pontosságot a támadások észlelésében. Sőt, valós forgatókönyvekben további adatok használhatók az alapalgoritmus kiegészítésére.

Mivel számítási szempontból viszonylag könnyű, a DoDGE algoritmus előnyökkel járhat az 5G hálózatok rugalmas infrastruktúrájának kiépítésében, ami várhatóan jelentősen megnöveli a csatlakoztatott eszközök számát – mondta a PNNL Barker a laboratórium közleményében.

„Mivel sokkal több eszköz és rendszer csatlakozik az internethez, a korábbinál sokkal több lehetőség nyílik a rendszerek rosszindulatú megtámadására” – mondta Barker. „És nap mint nap egyre több eszköz, például otthoni biztonsági rendszerek, érzékelők, sőt tudományos műszerek kerülnek a hálózatokra. Mindent meg kell tennünk, hogy megállítsuk ezeket a támadásokat.”

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Autóipar / elektromos járművek, Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• BlockOffsets. A környezetvédelmi ellentételezési tulajdon korszerűsítése. Hozzáférés itt.
• Forrás: https://www.darkreading.com/dr-tech/analyzing-network-chaos-leads-to-better-ddos-detection