Menganalisis Kekacauan Jaringan Menghasilkan Deteksi DDoS yang Lebih Baik

Internet adalah media yang kacau - paket cenderung mengalir dari sumber yang terdistribusi secara seragam ke berbagai tujuan.

Namun selama serangan penolakan layanan terdistribusi (DDoS), kekacauan tiba-tiba menjadi lebih teratur: Sejumlah besar perangkat mengirimkan paket jaringan ke sejumlah alamat terbatas dalam jangka waktu yang singkat. Dengan menganalisis perubahan yang tidak biasa dalam entropi Internet, sekelompok peneliti dari Pacific Northwest National Laboratory (PNNL) mengatakan mereka dapat mengidentifikasi 99% serangan DDoS dengan rata-rata hanya 2% tingkat positif palsu. Mereka membandingkan metode mereka dengan 10 algoritma standar, yang berhasil diidentifikasi hanya Rata-rata 52% serangan dan 62% serangan dalam skenario terbaik.

Algoritme tersebut – yang oleh para peneliti dijuluki “Deteksi serangan DDoS melalui analisis diferensial entropi umum,” atau DoDGE – lebih akurat dan lebih kecil kemungkinannya untuk mengidentifikasi serangan secara salah dibandingkan tindakan lainnya, kata Omer Subasi, ilmuwan komputer di PNNL dan penulis. dari makalah tentang topik yang disampaikan kepada Konferensi Internasional IEEE tentang Keamanan dan Ketahanan Siber.

“Dalam keadaan normal, lalu lintas dari pengirim dan penerima relatif terdistribusi dengan baik, dan tingkat entropi ini tetap cukup stabil,” katanya. “Namun, dalam skenario serangan, kami mendeteksi ketidakseimbangan antara pengirim dan penerima. Dengan mengukur bagaimana hal ini berubah seiring berjalannya waktu dan tingkat perubahannya, kami dapat mengidentifikasi serangan yang sedang berlangsung.”

Meskipun serangan ransomware dan kompromi email bisnis (BEC) cenderung mendapat perhatian paling besar dari kelompok keamanan, serangan DDoS terus menjadi yang paling berdampak bagi bisnis. Selama empat tahun terakhir, serangan DDoS merupakan penyebab terbesar dari insiden keamanan yang dilaporkan oleh perusahaan, menurut laporan tahunan Verizon “Laporan Investigasi Pelanggaran Data. "

Metode deteksi yang lebih baik dapat membantu bisnis merespons serangan dengan lebih cepat dan menerapkan tindakan pencegahan yang lebih baik, kata Allen West, peneliti di Akamai.

“Mampu memastikan apakah serangan DDoS sedang terjadi memungkinkan para pembela HAM untuk dengan percaya diri menerapkan mekanisme pertahanan yang ditargetkan, seperti penyaringan lalu lintas yang tepat dan layanan perlindungan khusus DDoS lainnya,” katanya. “Ini juga memberdayakan organisasi target untuk mengumpulkan lebih banyak informasi tentang insiden yang berharga dari sudut pandang intelijen, yang memungkinkan mereka menyimpulkan sumber atau alasan di balik serangan tersebut.”

Kekacauan Internet Itu Normal

Pendekatan paling umum untuk mendeteksi serangan penolakan layanan (DoS) adalah dengan membuat ambang batas - bandwidth teratas atau jumlah paket yang melebihi lonjakan lalu lintas dianggap sebagai serangan. Penelitian PNNL malah mengukur entropi lalu lintas jaringan, khususnya berfokus pada bagaimana dua ukuran entropi berubah: Pada target, permintaan untuk sumber daya tertentu meningkat selama serangan DDoS, sehingga mengurangi entropi, sementara jumlah sumber bertambah, sehingga meningkatkan entropi .

Dengan melihat perubahan kecil dari waktu ke waktu, para peneliti membedakan antara lonjakan lalu lintas yang sah – yang disebut “peristiwa kilat” – dan serangan sebenarnya, kata Kevin Barker, peneliti utama di PNNL.

“Hanya beberapa penelitian yang mencoba mengatasi masalah diferensiasi ini,” katanya. “Solusi alternatif menggunakan ambang batas atau berbasis ML/AI, yang memerlukan data besar dan memerlukan pelatihan serta pelatihan ulang yang mahal untuk beradaptasi.”

Kemampuan untuk dengan cepat membedakan antara serangan yang sebenarnya dan lonjakan lalu lintas yang sah, misalnya karena peristiwa berita atau konten viral, sangat penting untuk menentukan respons, kata Akamai’s West.

“Dengan serangan DDoS, upaya untuk mengidentifikasi dan memblokir lalu lintas berbahaya sambil mempertahankan lalu lintas yang sah akan menjadi prioritas utama,” kata West. “Namun, dengan 'flash event', berbagai tindakan dapat diambil untuk menangani beban ini seanggun mungkin tanpa mengambil tindakan yang lebih agresif.”

Positif Palsu Masih Perlu Turun

Deteksi serangan DDoS berbasis entropi meningkat secara signifikan dengan metode berbasis ambang batas, dengan tingkat kesalahan klasifikasi konten sah yang relatif kecil (dikenal sebagai positif palsu), menurut para peneliti. Teknik ini memiliki tingkat positif palsu kurang dari 7% di semua kasus dan rata-rata kurang dari 2% di 10 kumpulan data dunia nyata.

Namun agar berguna di dunia nyata, teknik tersebut harus memiliki tingkat positif palsu yang mendekati nol, kata Patrick Donahue, wakil presiden produk di Cloudflare.

“Selama bertahun-tahun kami telah melihat teknik penelitian yang diterbitkan tampaknya bekerja dengan baik dalam parameter laboratorium yang ditentukan secara sempit namun tidak efektif atau tidak dapat diukur,” katanya. “Misalnya, tingkat positif palsu yang dapat ditoleransi oleh pelanggan di dunia nyata dan tingkat pengambilan sampel yang diperlukan untuk mendeteksi dalam skala besar sering kali berbeda secara signifikan dari apa yang dapat diterima di laboratorium.”

Para peneliti PNNL menekankan bahwa algoritma mereka bersifat adaptif, sehingga tingkat positif palsu dapat diminimalkan dengan mengorbankan beberapa presisi dalam deteksi serangan. Selain itu, dalam skenario dunia nyata, data tambahan dapat digunakan untuk menambah algoritma dasar.

Karena relatif ringan dari sudut pandang komputasi, algoritme DoDGE dapat memberikan manfaat dalam membangun infrastruktur yang tangguh untuk jaringan 5G, yang diharapkan dapat meningkatkan jumlah perangkat yang terhubung secara signifikan, kata Barker dari PNNL dalam pengumuman labnya.

“Dengan semakin banyaknya perangkat dan sistem yang terhubung ke internet, terdapat lebih banyak peluang dibandingkan sebelumnya untuk menyerang sistem secara jahat,” kata Barker. “Dan semakin banyak perangkat seperti sistem keamanan rumah, sensor, dan bahkan instrumen ilmiah ditambahkan ke jaringan setiap hari. Kami perlu melakukan segala yang kami bisa untuk menghentikan serangan-serangan ini.”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Otomotif / EV, Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• BlockOffset. Modernisasi Kepemilikan Offset Lingkungan. Akses Di Sini.
• Sumber: https://www.darkreading.com/dr-tech/analyzing-network-chaos-leads-to-better-ddos-detection