네트워크 혼돈 분석으로 DDoS 탐지 개선

인터넷은 혼란스러운 매체입니다. 패킷은 균일하게 분산된 소스 집합에서 다양한 대상으로 흐르는 경향이 있습니다.

그러나 DDoS(분산 서비스 거부) 공격 중에는 혼란이 갑자기 더욱 정돈됩니다. 즉, 많은 수의 장치가 짧은 시간 내에 제한된 수의 주소로 네트워크 패킷을 보냅니다. PNNL(Pacific Northwest National Laboratory) 연구진은 인터넷 엔트로피의 이러한 비정상적인 변화를 분석함으로써 다음과 같은 결과를 얻을 수 있다고 밝혔습니다. DDoS 공격의 99% 식별 평균적으로 위양성 비율은 2%에 불과합니다. 그들은 자신들의 방법을 10가지 표준 알고리즘 세트와 비교했는데, 만 평균적으로 공격의 52%, 최상의 시나리오에서는 공격의 62%입니다.

연구원들이 "일반화된 엔트로피의 차등 분석을 통한 DDoS 공격 탐지"(DoDGE)라고 명명한 이 알고리즘은 다른 방법보다 더 정확하고 공격을 잘못 식별할 가능성이 낮다고 PNNL의 컴퓨터 과학자이자 저자인 Omer Subasi는 말합니다. 에 제출된 주제에 관한 논문 사이버 보안 및 복원력에 관한 IEEE 국제 회의.

"일반적인 상황에서 발신자와 수신자로의 트래픽은 상대적으로 잘 분산되어 있으며 이 엔트로피 수준은 상당히 안정적으로 유지됩니다."라고 그는 말합니다. “그러나 공격 시나리오에서는 발신자와 수신자 간의 불균형을 감지합니다. 시간이 지남에 따라 이것이 어떻게 변하는지와 변화 정도를 정량화함으로써 우리는 진행 중인 공격을 식별할 수 있습니다.”

랜섬웨어와 BEC(Business Email Compromise) 공격이 보안 그룹의 가장 큰 관심을 끄는 경향이 있는 반면, DDoS 공격은 계속해서 비즈니스에 가장 큰 영향을 미칠 것입니다.. Verizon의 연례 보고서에 따르면 지난 XNUMX년 동안 DDoS 공격은 기업이 보고한 보안 사고 중 가장 큰 비중을 차지했습니다.데이터 침해 조사 보고서. "

Akamai의 연구원인 Allen West는 더 나은 탐지 방법을 사용하면 기업이 공격에 더 빠르게 대응하고 더 나은 대응책을 마련하는 데 도움이 될 수 있다고 말합니다.

"DDoS 공격이 현재 발생하고 있는지 확인할 수 있으므로 방어자는 정확한 트래픽 필터링 및 기타 DDoS 관련 보호 서비스와 같은 표적 방어 메커니즘을 자신 있게 배포할 수 있습니다."라고 그는 말합니다. "또한 대상 조직이 인텔리전스 관점에서 가치 있는 사건에 대한 더 많은 정보를 수집할 수 있도록 하여 공격의 원인이나 원인을 추론할 수 있습니다."

인터넷 혼돈은 정상입니다

서비스 거부(DoS) 공격을 탐지하는 가장 일반적인 접근 방식은 임계값을 생성하는 것입니다. - 트래픽 급증이 공격으로 간주되는 최고 대역폭 또는 패킷 수입니다. 대신 PNNL 연구는 네트워크 트래픽의 엔트로피를 측정하며, 특히 엔트로피 변화의 두 가지 측정 방법에 초점을 맞춥니다. 대상에서는 DDoS 공격 중에 특정 리소스에 대한 요청이 증가하여 엔트로피가 줄어들고 소스 수가 증가하여 엔트로피가 증가합니다. .

PNNL의 수석 조사관인 Kevin Barker는 연구원들이 시간에 따른 작은 변화를 관찰함으로써 소위 "플래시 이벤트"라고 불리는 합법적인 트래픽의 급증과 실제 공격을 구별했다고 말했습니다.

“기존 연구 중 일부만이 이러한 차별화 문제를 해결하려고 시도하고 있습니다.”라고 그는 말합니다. "대체 솔루션은 임계값을 사용하거나 ML/AI 기반이므로 대규모 데이터가 필요하고 적응하기 위해 비용이 많이 드는 교육 및 재교육이 필요합니다."

Akamai의 West는 실제 공격과 뉴스 이벤트나 바이러스성 콘텐츠로 인한 합법적인 트래픽 급증을 신속하게 구별하는 능력이 대응을 결정하는 데 매우 중요하다고 말합니다.

"DDoS 공격에서는 합법적인 트래픽을 유지하면서 악의적인 트래픽을 식별하고 차단하는 노력이 최우선 순위가 될 것입니다."라고 West는 말합니다. "그러나 '플래시 이벤트'를 사용하면 보다 공격적인 조치를 취하지 않고도 이 로드를 최대한 우아하게 처리하기 위해 다양한 조치를 취할 수 있습니다."

가양성은 여전히 ​​떨어질 필요가 있습니다

연구진에 따르면 DDoS 공격에 대한 엔트로피 기반 탐지는 임계값 기반 방법을 통해 크게 향상되었으며 합법적인 콘텐츠를 잘못 분류하는 비율(오탐지)이 상대적으로 적습니다. 이 기술은 모든 경우에 7% 미만의 위양성 비율을 보였으며, 2개의 실제 데이터 세트에서 평균 10% 미만이었습니다.

Cloudflare의 제품 담당 부사장인 Patrick Donahue는 이러한 기술이 현실 세계에서 유용하려면 거짓 긍정 비율이 XNUMX에 가까워야 한다고 말합니다.

"수년에 걸쳐 우리는 좁게 정의된 실험실 매개 변수에서 잘 작동하는 것처럼 보이지만 효과적이지 않거나 확장할 수 없는 연구 기술이 발표된 것을 보아 왔습니다."라고 그는 말합니다. "예를 들어, 실제 고객이 허용할 수 있는 위양성 비율과 규모에 맞게 탐지하는 데 필요한 샘플링 비율은 실험실에서 허용되는 비율과 크게 다른 경우가 많습니다."

PNNL 연구원들은 자신들의 알고리즘이 적응적이므로 공격 탐지의 정밀도를 희생함으로써 오탐률을 최소화할 수 있다고 강조합니다. 또한 실제 시나리오에서는 추가 데이터를 사용하여 기본 알고리즘을 강화할 수 있습니다.

DoDGE 알고리즘은 컴퓨팅 관점에서 상대적으로 가볍기 때문에 5G 네트워크를 위한 탄력적인 인프라를 구축하는 데 이점이 있을 수 있으며, 이로 인해 연결된 장치 수가 크게 늘어날 것으로 예상된다고 PNNL의 Barker는 연구소 발표에서 밝혔습니다.

Barker는 “인터넷에 연결된 장치와 시스템이 너무 많아지면서 이전보다 시스템을 악의적으로 공격할 기회가 더 많아졌습니다.”라고 말했습니다. “그리고 홈 보안 시스템, 센서, 심지어 과학 장비와 같은 점점 더 많은 장치가 매일 네트워크에 추가됩니다. 우리는 이러한 공격을 막기 위해 최선을 다해야 합니다.”

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 자동차 / EV, 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• BlockOffsets. 환경 오프셋 소유권 현대화. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/dr-tech/analyzing-network-chaos-leads-to-better-ddos-detection