ネットワークの混乱の分析が DDoS 検出の向上につながる

インターネットは混沌としたメディアであり、パケットは均一に分散された送信元のセットからさまざまな宛先に流れる傾向があります。

しかし、分散型サービス拒否 (DDoS) 攻撃中は、混乱が突然より秩序立ったものになります。多数のデバイスが、限られた数のアドレスにネットワーク パケットを短い時間枠で送信します。太平洋岸北西部国立研究所 (PNNL) の研究者グループは、インターネットのエントロピーのこのような異常な変化を分析することで、次のようなことができると述べました。 DDoS 攻撃の 99% を特定 偽陽性率は平均してわずか 2% です。彼らは自分たちの手法を 10 個の標準アルゴリズムのセットと比較し、次の点を特定しました。 の 攻撃の平均は 52%、最良のシナリオでは攻撃の 62%。

研究者らが「一般化エントロピーの差分分析による DDoS 攻撃検出 (DoDGE)」と名付けたこのアルゴリズムは、他の手段よりも正確であり、攻撃を誤って特定する可能性が低いと、PNNL のコンピュータ科学者で著者のオマー・スバシ氏は述べています。に提示されたテーマに関する論文の サイバーセキュリティとレジリエンスに関するIEEE国際会議.

「通常の状況では、送信者から受信者へのトラフィックは比較的適切に分散されており、このレベルのエントロピーはかなり安定したままです」と彼は言います。 「しかし、攻撃シナリオでは、送信者と受信者の不均衡が検出されます。これが時間の経過とともにどのように変化するか、および変化の程度を定量化することで、進行中の攻撃を特定することができます。」

ランサムウェアとビジネス電子メール侵害 (BEC) 攻撃がセキュリティ グループから最も注目を集める傾向にありますが、DDoS 攻撃は ビジネスにとって最も影響力のあるものであり続ける。 Verizon の年次報告書によると、過去 XNUMX 年間、企業によって報告されたセキュリティ インシデントの中で DDoS 攻撃が最も大きな割合を占めています。データ侵害調査レポートに設立された地域オフィスに加えて、さらにローカルカスタマーサポートを提供できるようになります。」

アカマイの研究者アレン・ウェスト氏は、より優れた検出方法により、企業はより迅速に攻撃に対応し、より適切な対策を講じることができると述べています。

「現在 DDoS 攻撃が行われているかどうかを確認できるため、防御側は正確なトラフィック フィルタリングやその他の DDoS 固有の保護サービスなど、対象を絞った防御メカニズムを自信を持って導入できます」と彼は言います。 「また、標的となった組織は、インテリジェンスの観点から貴重なインシデントに関するより多くの情報を収集できるようになり、攻撃の背後にある原因や理由を推測できる可能性があります。」

インターネットの混乱は正常です

サービス拒否 (DoS) 攻撃を検出するための最も一般的なアプローチは、しきい値を作成することです。 - トラフィックの急増が攻撃とみなされる上限の帯域幅またはパケット数。 PNNL の研究では、代わりにネットワーク トラフィックのエントロピーを測定し、特にエントロピーの XNUMX つの尺度がどのように変化するかに焦点を当てています。ターゲットでは、DDoS 攻撃中に特定のリソースの要求が増加し、エントロピーが減少する一方、送信元の数が増加してエントロピーが増大します。 。

PNNLの主任研究員であるケビン・バーカー氏によると、研究者らは時間の経過に伴う小さな変化を観察することで、正規のトラフィックの急増（いわゆる「フラッシュイベント」）と実際の攻撃を区別したという。

「既存の研究の中で、この差別化の問題に対処しようとしているのはほんの一部だけです」と彼は言います。 「代替ソリューションは、しきい値を使用するか、ML/AI ベースのいずれかですが、大規模なデータが必要となり、適応するためのトレーニングや再トレーニングにコストがかかります。」

Akamai の West 氏は、真の攻撃と、ニュース イベントやバイラル コンテンツなどによる正当なトラフィックの急増を迅速に区別できることが、対応を決定する上で重要であると述べています。

「DDoS 攻撃では、正当なトラフィックを維持しながら、悪意のあるトラフィックを特定してブロックする取り組みが最優先事項になります」とウェスト氏は言います。 「しかし、『フラッシュ イベント』を使用すると、より積極的な措置を講じることなく、さまざまなアクションを実行して、この負荷を可能な限り適切に処理できます。」

誤検知はまだ減少する必要がある

研究者らによると、エントロピーベースの DDoS 攻撃の検出は、しきい値ベースの方法を使用すると大幅に向上し、正当なコンテンツを誤って分類する (誤検知として知られる) 割合が比較的低くなります。この手法の偽陽性率はすべてのケースで 7% 未満であり、2 の実世界のデータセット全体で平均して 10% 未満でした。

Cloudflareの製品担当バイスプレジデント、パトリック・ドナヒュー氏は、現実の世界で役立つためには、そのような技術が誤検知率をゼロに近づける必要があると述べています。

「私たちは何年もの間、研究室の狭く定義されたパラメーターではうまく機能しているように見える研究手法が発表されるのを見てきましたが、効果的ではなかったり、拡張できなかったりします」と彼は言います。 「たとえば、現実世界の顧客が許容できる誤検知率や、大規模な検出に必要なサンプリング レートは、ラボで許容されるものとは大きく異なることがよくあります。」

PNNL の研究者らは、アルゴリズムが適応型であるため、攻撃検出の精度をある程度犠牲にしても誤検知率を最小限に抑えることができると強調しています。さらに、現実のシナリオでは、追加のデータを使用して基本アルゴリズムを強化できます。

DoDGE アルゴリズムは計算の観点から比較的軽量であるため、接続デバイス数の大幅な増加が期待される 5G ネットワーク用の回復力のあるインフラストラクチャの構築に利点がある可能性があると PNNL の Barker 氏は研究室の発表で述べています。

「非常に多くのデバイスやシステムがインターネットに接続されているため、システムを悪意を持って攻撃する機会が以前よりもはるかに増えています」とバーカー氏は述べています。 「そして、ホーム セキュリティ システム、センサー、さらには科学機器など、ますます多くのデバイスが毎日ネットワークに追加されています。私たちはこれらの攻撃を阻止するためにできる限りのことを行う必要があります。」

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 自動車/EV、 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• ブロックオフセット。 環境オフセット所有権の近代化。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/dr-tech/analyzing-network-chaos-leads-to-better-ddos-detection