Analiza omrežnega kaosa vodi do boljšega odkrivanja DDoS

Internet je kaotičen medij – paketi tečejo od enakomerno porazdeljenih virov do različnih ciljev.

Toda med porazdeljenim napadom zavrnitve storitve (DDoS) kaos nenadoma postane bolj urejen: veliko število naprav pošlje omrežne pakete na omejeno število naslovov v kratkem časovnem okviru. Z analizo tako nenavadnih sprememb v entropiji interneta je skupina raziskovalcev iz pacifiškega severozahodnega nacionalnega laboratorija (PNNL) dejala, da lahko identificira 99 % napadov DDoS s povprečno le 2-odstotno stopnjo lažno pozitivnih rezultatov. Svojo metodo so primerjali z nizom 10 standardnih algoritmov, ki so identificirali samo 52 % napadov v povprečju in 62 % napadov v najboljšem primeru.

Algoritem – ki so ga raziskovalci poimenovali »zaznavanje napadov DDoS prek diferencialne analize generalizirane entropije« ali DoDGE – je bolj natančen in manj nagnjen k lažni identifikaciji napada kot drugi ukrepi, pravi Omer Subasi, računalniški znanstvenik pri PNNL in avtor prispevka na temo, predstavljenega na Mednarodna konferenca IEEE o kibernetski varnosti in odpornosti.

"V normalnih okoliščinah je promet od pošiljateljev do prejemnikov razmeroma dobro porazdeljen in ta raven entropije ostaja dokaj stabilna," pravi. »Vendar pa pri scenarijih napada zaznamo neravnovesje med pošiljatelji in prejemniki. S kvantificiranjem, kako se to spreminja skozi čas in stopnjo spremembe, lahko prepoznamo napade, ki so v teku.«

Medtem ko napadi z izsiljevalsko programsko opremo in ogrožanje poslovne e-pošte (BEC) ponavadi pritegnejo največ pozornosti varnostnih skupin, napadi DDoS še naprej najbolj vplivna za podjetja. V zadnjih štirih letih so napadi DDoS predstavljali največji delež varnostnih incidentov, o katerih poročajo podjetja, glede na Verizonov letni “Poročilo o preiskavah kršitev podatkov«.

Boljše metode odkrivanja lahko pomagajo podjetjem, da se hitreje odzovejo na napade in uvedejo boljše protiukrepe, pravi Allen West, raziskovalec pri Akamaiju.

"Zmožnost potrditve, ali trenutno poteka napad DDoS, omogoča zagovornikom, da samozavestno uvedejo ciljne obrambne mehanizme, kot je natančno filtriranje prometa in druge storitve zaščite, specifične za DDoS," pravi. "Prav tako omogoča ciljni organizaciji, da zbere več informacij o incidentu, ki so dragocene z obveščevalnega vidika, kar ji lahko omogoči sklepanje o viru ali razlogu za napade."

Internetni kaos je normalen

Najpogostejši pristop k odkrivanju napadov zavrnitve storitve (DoS) je ustvarjanje praga - najvišja pasovna širina ali število paketov, nad katerim se porast prometa šteje za napad. Raziskava PNNL namesto tega meri entropijo omrežnega prometa, pri čemer se posebej osredotoča na to, kako se spreminjata dve merili entropije: na cilju se zahteve za določen vir povečajo med napadom DDoS, kar vodi do manjše entropije, medtem ko število virov raste, kar povečuje entropijo .

Kevin Barker, glavni raziskovalec pri PNNL, pravi Kevin Barker, glavni raziskovalec pri PNNL, da so raziskovalci opazovali majhne spremembe skozi čas in razlikovali med porastom zakonitega prometa – tako imenovanimi »hitrimi dogodki« – in dejanskimi napadi.

"Le nekatera obstoječa dela celo poskušajo obravnavati ta problem diferenciacije," pravi. "Alternativne rešitve bodisi uporabljajo pragove bodisi temeljijo na ML/AI, kar zahteva velike količine podatkov in zahteva drago usposabljanje in ponovno usposabljanje za prilagajanje."

Zmožnost hitrega razlikovanja med resničnim napadom in povečanjem zakonitega prometa zaradi, na primer, dogodka z novicami ali virusne vsebine, je ključnega pomena za določanje odziva, pravi Akamai's West.

»Pri napadu DDoS bodo prizadevanja za prepoznavanje in blokiranje zlonamernega prometa ob ohranjanju zakonitega prometa glavna prednostna naloga,« pravi West. "Z" hitrimi dogodki " pa je mogoče sprejeti različne ukrepe za čim bolj elegantno obvladovanje te obremenitve brez sprejemanja bolj agresivnih ukrepov."

Lažno pozitivnih rezultatov še vedno ni

Odkrivanje napadov DDoS, ki temelji na entropiji, se po mnenju raziskovalcev znatno izboljša z metodami, ki temeljijo na pragu, z razmeroma majhno stopnjo napačnega razvrščanja zakonite vsebine (znano kot lažno pozitivno). Tehnika je imela lažno pozitivne stopnje manj kot 7 % v vseh primerih in manj kot 2 % v povprečju v 10 naborih podatkov iz resničnega sveta.

Da bi bile takšne tehnike uporabne v resničnem svetu, morajo imeti lažno pozitivno stopnjo, ki se približuje ničli, pravi Patrick Donahue, podpredsednik produkta pri Cloudflare.

"V preteklih letih smo videli objavljene raziskovalne tehnike, za katere se zdi, da dobro delujejo v ozko definiranih parametrih laboratorija, vendar niso učinkovite ali jih ni mogoče prilagoditi," pravi. "Na primer, stopnje lažno pozitivnih rezultatov, ki jih stranke v resničnem svetu tolerirajo, in stopnje vzorčenja, potrebne za zaznavanje v velikem obsegu, se pogosto bistveno razlikujejo od tistega, kar je sprejemljivo v laboratoriju."

Raziskovalci PNNL poudarjajo, da so njihovi algoritmi prilagodljivi, zato je mogoče zmanjšati lažno pozitivno stopnjo z žrtvovanjem določene natančnosti pri odkrivanju napadov. Poleg tega se lahko v scenarijih resničnega sveta dodatni podatki uporabijo za razširitev osnovnega algoritma.

Ker je z računalniškega vidika razmeroma lahek, bi algoritem DoDGE lahko imel koristi pri izgradnji prožne infrastrukture za omrežja 5G, za katera se pričakuje, da bodo znatno povečala število povezanih naprav, je v objavi laboratorija navedel Barker iz PNNL.

"S toliko več napravami in sistemi, povezanimi z internetom, je veliko več priložnosti kot prej za zlonamerno napadanje sistemov," je dejal Barker. »V omrežja je vsak dan dodanih vedno več naprav, kot so domači varnostni sistemi, senzorji in celo znanstveni instrumenti. Narediti moramo vse, kar je v naši moči, da zaustavimo te napade."

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Avtomobili/EV, Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• BlockOffsets. Posodobitev okoljskega offset lastništva. Dostopite tukaj.
• vir: https://www.darkreading.com/dr-tech/analyzing-network-chaos-leads-to-better-ddos-detection