分析网络混乱可实现更好的 DDoS 检测

分析网络混乱可实现更好的 DDoS 检测

时间戳记:8年2023月9日晚上58:XNUMX

互联网是一种混乱的介质——数据包往往从一组均匀分布的源流向多个目的地。

然而,在分布式拒绝服务 (DDoS) 攻击期间,混乱突然变得更加有序:大量设备在短时间内向有限数量的地址发送网络数据包。太平洋西北国家实验室 (PNNL) 的一组研究人员表示,通过分析互联网熵的这种不寻常变化,他们可以 识别 99% 的 DDoS 攻击 平均假阳性率仅为 2%。他们将自己的方法与一组 10 种标准算法进行了比较,结果发现 仅由 平均为 52% 的攻击,在最佳情况下为 62% 的攻击。

PNNL 计算机科学家兼作家奥马尔·苏巴西 (Omer Subasi) 表示,该算法(研究人员将其称为“通过广义熵差分分析进行 DDoS 攻击检测”或 DoDGE)比其他方法更准确,而且更不容易错误地识别攻击。提交给该主题的一篇论文 IEEE 国际网络安全与弹性会议.

“在正常情况下,从发送者到接收者的流量分布相对较好,并且这种熵水平保持相当稳定,”他说。 “然而,在攻击场景下,我们检测到发送者和接收者之间的不平衡。通过量化这种变化随时间的变化以及变化的程度,我们能够识别正在进行的攻击。”

虽然勒索软件和商业电子邮件泄露 (BEC) 攻击往往最受安全组织关注,但 DDoS 攻击 仍然对企业最具影响力。根据 Verizon 的年度报告,在过去四年中,DDoS 攻击在公司报告的安全事件中所占比例最大。数据泄露调查报告设立的区域办事处外,我们在美国也开设了办事处,以便我们为当地客户提供更多的支持。“

DDoS 数据集图表

数据集显示良性流量(左上)、攻击(右上)和足球比赛引起的两个突发事件之间的熵差异。 资料来源:西北太平洋国家实验室

Akamai 研究员艾伦·韦斯特 (Allen West) 表示,更好的检测方法可以帮助企业更快地响应攻击并采取更好的对策。

“能够确认当前是否正在发生 DDoS 攻击,使防御者能够自信地部署有针对性的防御机制,例如精确的流量过滤和其他 DDoS 特定的保护服务,”他说。 “它还使目标组织能够收集更多从情报角度来看有价值的事件信息,这可能使他们能够推断出攻击背后的来源或原因。”

网络混乱是常态

检测拒绝服务 (DoS) 攻击的最常见方法是创建阈值 - 最高带宽或数据包计数,超过该值的流量激增将被视为攻击。相反,PNNL 研究测量网络流量的熵,特别关注两种熵测量的变化方式:在目标处,DDoS 攻击期间对特定资源的请求增加,导致熵减少,而源数量增加,熵增加。

PNNL 首席研究员凯文·巴克 (Kevin Barker) 表示,通过观察一段时间内的微小变化,研究人员区分了合法流量激增(即所谓的“突发事件”)和实际攻击。

“只有一些现有的工作甚至试图解决这个差异化问题,”他说。 “替代解决方案要么使用阈值,要么基于机器学习/人工智能,这需要大量数据,并需要昂贵的培训和再培训来适应。”

Akamai 的 West 表示,快速区分真正的攻击和由于新闻事件或病毒内容等原因导致的合法流量激增对于确定响应至关重要。

“对于 DDoS 攻击,识别和阻止恶意流量同时保留合法流量将是首要任务,”West 说。 “然而,对于‘突发事件’,可以采取不同的行动来尽可能优雅地处理这种负载,而无需采取更积极的措施。”

误报率仍需下降

研究人员表示,通过基于阈值的方法,基于熵的 DDoS 攻击检测得到显着改善,合法内容错误分类(称为误报)的比率相对较小。该技术在所有情况下的假阳性率均低于 7%,在 2 个真实世界数据集中的平均假阳性率低于 10%。

Cloudflare 产品副总裁 Patrick Donahue 表示,为了在现实世界中发挥作用,此类技术的误报率必须接近于零。

“多年来,我们已经看到一些已发表的研究技术似乎在实验室狭隘定义的参数下运行良好,但效果不佳或无法扩展,”他说。 “例如,现实世界中客户能够容忍的误报率以及大规模检测所需的采样率通常与实验室可接受的情况存在重大差异。”

PNNL 研究人员强调,他们的算法是自适应的,因此可以通过牺牲一些攻击检测精度来最大限度地降低误报率。此外,在现实场景中,可以使用附加数据来增强基本算法。

PNNL 的 Barker 在实验室的声明中表示,由于从计算角度来看,DoDGE 算法相对轻量级,因此可以为 5G 网络构建弹性基础设施带来好处,预计将显着增加连接设备的数量。

“随着越来越多的设备和系统连接到互联网,恶意攻击系统的机会比以前更多,”巴克说。 “每天都有越来越多的设备(例如家庭安全系统、传感器甚至科学仪器)添加到网络中。我们需要尽一切努力阻止这些袭击。”

时间戳记:

更多来自 暗读