DDoS támadások 90%-os megakadályozása
Az USA Energiaügyi Minisztériumához tartozó Pacific Northwest National Laboratory (PNNL) informatikusai által kifejlesztett új technika úgy működik, hogy figyeli az internet folyamatosan változó forgalmi szokásait. Az eredményeket augusztus 2-án ismertette a PNNL kutatója, Omer Subasi az IEEE nemzetközi kiberbiztonsági és ellenállóképességi konferenciáján, ahol a kéziratot a találkozón bemutatott legjobb kutatási cikknek ismerték el.
A tudósok módosították a DDoS támadások felderítésére leggyakrabban használt forgatókönyvet, ahol az elkövetők kérésekkel bombázva próbálnak leállítani egy weboldalakat, szolgáltatásokat.
Sok rendszer egy küszöbnek nevezett számra támaszkodva próbálja észlelni az ilyen támadásokat. Ha a weboldalt elérni próbáló felhasználók száma meghaladja ezt a számot, akkor a támadás valószínűnek tekinthető, és védekező intézkedések lépnek életbe. De a küszöbre támaszkodva sebezhetővé teheti a rendszereket. Egy küszöb nem nyújt sok betekintést vagy információt arról, hogy valójában mi is történik a rendszerben – mondta Omer Subasi. Egy egyszerű küszöb könnyen kihagyhat egy tényleges támadást, ami súlyos következményekkel járhat.
Nem elég észlelni a nagy forgalmú forgalmat. Meg kell érteni azt a forgalmat, amely az idő múlásával folyamatosan fejlődik. A hálózatának különbséget kell tennie egy támadás és egy ártalmatlan esemény között, ahol a forgalom hirtelen megnövekszik, mint például a Super Bowl. Pedig a viselkedés szinte azonos.
Az észlelési pontosság javítása érdekében a PNNL csapata teljesen kikerülte a küszöbértékek koncepcióját. Ehelyett a csapat az entrópia evolúciójára összpontosított, amely a rendszer rendezetlenségének mértéke.
A PNNL tesztelése során 10 szabványos algoritmus a DOS-támadások átlagosan 52 százalékát azonosította helyesen; a legjobb helyesen azonosította a támadások 62 százalékát. A PNNL képlet helyesen azonosította az ilyen támadások 99 százalékát.
A javulás nem csak a küszöbértékek elkerülésének köszönhető. A pontosság további javítása érdekében a PNNL csapata egy csavart adott azáltal, hogy nemcsak a statikus entrópiaszinteket figyelte, hanem az idő múlásával változó trendeket is.
A PNNL-megoldás automatizált, és nem igényel szoros emberi felügyeletet a jogszerű forgalom és a támadás megkülönböztetéséhez. A kutatók azt mondják, hogy programjuk „könnyű” – nem igényel nagy számítási teljesítményt vagy hálózati erőforrásokat a munkájához. Ez eltér a gépi tanuláson és mesterséges intelligencián alapuló megoldásoktól.