Son zamanlarda yapılan araştırmalar, yaygın çevrimiçi tehditleri ve DDoS saldırılarını algılamada %90’lık dikkate değer bir doğruluk oranı göstermiştir; bu, önceki algılama yöntemlerine göre önemli bir gelişmedir.
Cyber Security News’e özel olarak bildirildiği üzere, yeni teknik, sürekli değişen internet trafik modellerini yakından takip ederek çalışır.
Saldırganların bir web sitesini isteklerle doldurarak çökertmeye çalıştıkları hizmet reddi saldırılarını belirlemek için en sık kullanılan oyun kitabı, bilim adamları tarafından değiştirildi.
Bu senaryoda, ağ trafiğindeki asimetrik davranış ve Tsallis entropisi nedeniyle hizmet reddi tehditleri keşfedildi.
DDoS Saldırılarını Önlemek İçin Yeni Tekniğin Özellikleri
Bu yeni teknik, Enerji Bakanlığı Pasifik Kuzeybatı Ulusal Laboratuvarı’ndaki uzmanlar tarafından oluşturuldu.
PNNL’den Bilim İnsanı Ömer Subaşı bulguları 2 Ağustos’ta IEEE Uluslararası Siber Güvenlik ve Direnç Konferansı’nda sundu ve burada makale sunulan en iyi araştırma makalesi ödülünü kazandı.
Birçok sistem, DDoS saldırılarını tanımlamak için eşik adı verilen ham bir sayıya güvenir. Bir saldırının yaklaştığı varsayıldığından, siteye erişmeye çalışan kişi sayısı belirli bir eşiği aşarsa sitenin savunması etkinleştirilir.
Ancak, bir eşiğe güvenmek, sistemleri riske maruz bırakır.
Subaşı, “Bir eşik, sisteminizde neler olup bittiği hakkında pek fazla içgörü veya bilgi sunmaz” dedi.
“Basit bir eşik, ciddi sonuçları olan gerçek saldırıları kolayca kaçırabilir ve defans oyuncusu neler olduğunun farkında bile olmayabilir.”
Bir eşik, kendi başlarına zararlı etkileri olabilecek yanlış alarmlara da neden olabilir.
PNNL ekibi, algılama doğruluğunu artırmak için eşikler fikrinden tamamen kaçındı. Bunun yerine grup, sistem bozukluğu için bir ölçü olan entropinin geliştirilmesine odaklandı.
Araştırmacılar, bir hizmet reddi saldırısı sırasında iki entropi ölçüsünün zıt yönde hareket ettiğini söylüyor.
Hedef adreste tipik olandan çok daha fazla tıklama var, bu da zayıf entropiyi gösteriyor.
Ancak, ister gerçek insanlardan, zombilerden veya otomatikleştirilmiş sistemlerden olsun, bu tıklamaların kaynağı geniş bir alana dağılmıştır – yüksek entropi. Tutarsızlık bir saldırıyı gösterebilir.
PNNL tarafından yürütülen testlerde, 10 yaygın algoritma, DOS saldırılarının ortalama %52’sini uygun şekilde tanıdı; en üstteki algoritma saldırıların %62’sini doğru bir şekilde tanımladı, PNNL formülü bunların yüzde 99’unu doğru bir şekilde tanıdı.
Entropiyi hesaplamak için Subaşı diğer yöntemlere baktı. Çok sayıda hizmet reddi algılama sistemi, Shannon entropi formülüne bağlıdır.
Bunun yerine Subaşı, bazı temel matematik için Tsallis entropisi adı verilen matematiksel bir kavram kullandı.
Subaşı’ya göre Tsallis formülü, yanlış alarmları belirlemede ve Dünya Kupası için önemli internet trafiği ile bir saldırı gibi gerçek ani olayları ayırt etmede Shannon’dan yüzlerce kat daha hassastır.
Raporda, “PNNL çözümü otomatiktir ve meşru trafik ile saldırı arasında ayrım yapmak için bir insan tarafından yakından gözetim gerektirmez” diyor.
Araştırmacılar, görevlerini yerine getirmek için az miktarda ağ veya hesaplama kaynağı gerektirdiğinden, programlarının “hafif” olduğunu iddia ediyorlar.
Bunun yapay zeka ve makine öğrenimine dayalı çözümlerden farklı olduğu kaydedildi. Bu yöntemler eşiklerden de kaçınır, ancak aynı zamanda çok fazla eğitim verisine ihtiyaç duyarlar.
Baş araştırmacı Kevin Barker, “İnternete bağlı çok daha fazla cihaz ve sistemle, sistemlere kötü niyetli olarak saldırmak için eskisinden çok daha fazla fırsat var” dedi.
Raporlara göre, ekip şu anda 5G ağ kurulumunun ve Nesnelerin İnternetinin artan yaygınlığının hizmet reddi saldırıları üzerindeki potansiyel etkisini araştırıyor.
Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.