İnternet kaotik bir ortamdır – paketler, tek biçimli olarak dağıtılmış bir kaynak kümesinden çeşitli hedeflere akma eğilimindedir.
Yine de, dağıtılmış hizmet reddi (DDoS) saldırıları sırasında, kaos birdenbire daha düzenli hale gelir: Çok sayıda cihaz, küçük bir zaman diliminde sınırlı sayıda adrese ağ paketleri gönderir. Pasifik Kuzeybatı Ulusal Laboratuvarı’ndan bir grup araştırmacı, İnternet entropisindeki bu tür olağandışı değişiklikleri analiz ederek, DDoS saldırılarının %99’unu, ortalama olarak yalnızca %2 yanlış pozitif oranıyla tespit edebildiklerini söyledi. Yöntemlerini, ortalama saldırıların yalnızca %52’sini ve en iyi senaryoda saldırıların %62’sini tanımlayan 10 standart algoritmadan oluşan bir setle karşılaştırdılar.
PNNL’de bir bilgisayar bilimcisi ve bir yazar olan Ömer Subaşı, araştırmacıların genelleştirilmiş entropinin diferansiyel analizi veya DoDGE yoluyla DDoS saldırı tespiti olarak adlandırdıkları algoritmanın hem daha doğru olduğunu hem de diğer önlemlere göre bir saldırıyı yanlış bir şekilde tanımlamaya daha az eğilimli olduğunu söylüyor. IEEE Uluslararası Siber Güvenlik ve Direnç Konferansı’na sunulan konuyla ilgili bildiri.
“Normal koşullar altında, göndericilerden alıcılara giden trafik nispeten iyi dağıtılır ve bu entropi düzeyi oldukça sabit kalır” diyor. “Ancak, saldırı senaryoları altında, göndericiler ve alıcılar arasında bir dengesizlik tespit ediyoruz. Bunun zaman içinde nasıl değiştiğini ve değişim derecesini ölçerek, devam eden saldırıları tanımlayabiliyoruz.”
Fidye yazılımı ve iş e-postası ele geçirme (BEC) saldırıları, güvenlik gruplarının en çok dikkatini çekme eğilimindeyken, dağıtılmış hizmet reddi saldırıları, işletmeler için en etkili saldırılar olmaya devam ediyor. Ayrıca, yıllık Verizon Veri İhlali Soruşturmaları Raporuna göre, son dört yılda şirketler tarafından bildirilen güvenlik olaylarının en büyük kısmını DDoS saldırıları oluşturdu.
Akamai’de araştırmacı olan Allen West, daha iyi saldırı tespit yöntemlerinin, işletmelerin saldırılara daha hızlı yanıt vermesine ve daha iyi karşı önlemler almasına yardımcı olabileceğini söylüyor.
“Şu anda bir DDoS saldırısının gerçekleşip gerçekleşmediğini teyit edebilmek, savunucuların hassas trafik filtreleme ve diğer DDoS’a özgü koruma hizmetleri gibi hedeflenen savunma mekanizmalarını güvenle konuşlandırmasına olanak tanıyor” diyor. “Ayrıca hedef kuruluşa, olay hakkında istihbarat açısından değerli olan daha fazla bilgi toplama yetkisi veriyor, bu da saldırıların kaynağını veya nedenini anlamalarına olanak tanıyor.”
İnternet Kaosu Normaldir
Hizmet reddi saldırılarını saptamaya yönelik en yaygın yaklaşım, bir eşik, bir üst bant genişliği veya üzerindeki paket sayısını oluşturmaktır; PNNL araştırması bunun yerine, özellikle iki entropi ölçüsünün nasıl değiştiğine odaklanarak ağ trafiğinin entropisini ölçer: Hedefte, bir DDoS saldırısı sırasında belirli bir kaynağa yönelik talepler artarak daha az entropiye yol açarken, kaynakların sayısı artarak entropiyi artırır. .
PNNL baş araştırmacısı Kevin Barker, araştırmacıların zaman içinde meydana gelen küçük değişikliklere bakarak, “flaş olaylar” olarak adlandırılan meşru trafik dalgalanmaları ile gerçek saldırılar arasında ayrım yaptığını söylüyor.
“Mevcut çalışmaların yalnızca bir kısmı bu farklılaşma sorununu ele almaya bile çalışıyor” diyor. “Alternatif çözümler ya eşikler kullanıyor ya da büyük veri gerektiren ve uyum sağlamak için maliyetli eğitim ve yeniden eğitim gerektiren makine öğrenimi/yapay zeka tabanlı.”
Akamai’den West, gerçek bir saldırı ile örneğin bir haber olayı veya viral içerik nedeniyle meşru trafikteki bir artışı hızlı bir şekilde ayırt etme yeteneğinin tepkiyi belirlemek için kritik öneme sahip olduğunu söylüyor.
West, “Bir DDoS saldırısında, yasal trafiği korurken kötü amaçlı trafiği belirleme ve engelleme çabaları ana öncelik olacaktır” diyor. “Ancak ‘flaş olaylar’ ile, bu yükü daha agresif önlemler almadan olabildiğince zarif bir şekilde ele almak için farklı eylemler gerçekleştirilebilir.”
Yanlış Pozitiflerin Hala Düşmesi Gerekiyor
Araştırmacılara göre, DDoS saldırılarının entropi tabanlı tespiti, meşru içeriğin yanlış sınıflandırılmasında (yanlış pozitif olarak bilinir) nispeten düşük bir oranla, eşik tabanlı yöntemlerde önemli ölçüde iyileşiyor. Tekniğin, 10 gerçek dünya veri setinde tüm vakalarda %7’den az ve ortalama olarak %2’den az yanlış pozitif oranları vardı.
Yine de, Cloudflare ürün başkan yardımcısı Patrick Donahue, gerçek dünyada faydalı olabilmesi için bu tür tekniklerin sıfıra yaklaşan bir yanlış pozitif oranına sahip olması gerektiğini söylüyor.
“Yıllar boyunca, laboratuvarın dar tanımlanmış parametrelerinde iyi çalışan, ancak etkili olmayan veya ölçeklenemeyen araştırma tekniklerinin yayınlandığını gördük” diyor. “Örneğin, gerçek dünyadaki müşterilerin tolere edeceği yanlış pozitif oranları ve geniş ölçekte tespit etmek için gereken örnekleme oranları, genellikle laboratuvarda kabul edilebilir olandan önemli ölçüde farklıdır.”
PNNL araştırmacıları, algoritmalarının uyarlanabilir olduğunu, bu nedenle saldırı tespitinde bir miktar hassasiyetten ödün verilerek yanlış pozitif oranın en aza indirilebileceğini vurguluyor. Ayrıca, gerçek dünya senaryolarında, temel algoritmayı güçlendirmek için ek veriler kullanılabilir.
PNNL’den Barker, laboratuvarın duyurusunda, hesaplama açısından nispeten hafif olduğu için, DoDGE algoritmasının bağlı cihazların sayısını önemli ölçüde artırması beklenen 5G ağları için esnek altyapı oluşturmak için faydaları olabilir.
Barker bu duyuruda, “İnternete bağlı çok daha fazla cihaz ve sistemle, sistemlere kötü niyetli bir şekilde saldırmak için eskisinden çok daha fazla fırsat var” dedi. “Ağlara her gün ev güvenlik sistemleri, sensörler ve hatta bilimsel araçlar gibi daha fazla cihaz ekleniyor. Bu saldırıları durdurmak için elimizden gelen her şeyi yapmalıyız.”