Şu anda kullanılan yaklaşımlarla karşılaştırıldığında, bilim adamlarının yaptığı çalışmalar sayesinde tipik bir internet saldırısının algılama yetenekleri çok daha iyileştirildi.İnternette sürekli değişen trafik modellerini yakından kontrol etmek başarının anahtarıdır. Enerji Bakanlığı’nın bir parçası olan Pasifik Kuzeybatı Ulusal Laboratuvarı’nda çalışan bilgisayar bilimcileri tarafından oluşturulan yeni bir yöntemin. Sonuçlar, 2 Ağustos’ta PNNL bilim adamı Ömer Subaşı tarafından IEEE Uluslararası Siber Güvenlik ve Direnç Konferansı’nda sunuldu ve makale, toplantıda verilen en iyi araştırma makalesi olarak kabul edildi. Konferans ayrıca yayını toplantıda sunulan en iyi araştırma makalesi olarak kabul etti.
Faillerin bir web sitesini isteklerle doldurarak dize getirmeye çalıştıkları hizmet reddi saldırılarını tespit etmek için en yaygın kullanılan oyun kitabı, bilim adamları tarafından değiştirildi. Saldırganlar fidye karşılığında bir web sitesini rehin tutuyor olabilir, ancak kullanıcıları veya şirketleri rahatsız etmeye de çalışıyor olabilirler. Sistemlerin büyük çoğunluğu, bu tür saldırıları belirlemeye çalışmak için eşik olarak adlandırılan ham bir sayıya bağlıdır. Bir siteyi ziyaret etmeye çalışan kişi sayısı bu eşiği aşarsa, saldırı olasılığının yüksek olduğu belirlenir ve koruyucu önlemler alınır. Ancak, bir eşiğe bağlı olmak, sistemleri saldırılara açık hale getirebilir.
Subaşı, “Bir eşik, sisteminizde gerçekte neler olup bittiğine dair herhangi bir içgörü veya bilgi vermez” dedi. “Dolaysız bir eşiğin, ciddi sonuçları olabilecek gerçek saldırıları kaçırma olasılığı yüksektir ve savunma oyuncusu bunun olduğunun farkında bile olmayabilir.”
Bir eşik, herhangi birinin kendi başına önemli sonuçları olabilecek yanlış alarmlar üretme potansiyeline sahiptir. Genellikle DOS saldırısı olarak bilinen gerçek bir hizmet reddi saldırısı, yanlış bir pozitifin yapabileceği şeyi etkili bir şekilde gerçekleştirmeye çalışır: savunucuları bir siteyi kapatmaya ve gerçek trafiği durdurmaya zorlar. Yanlış pozitifler, savunucuların bir siteyi çevrimdışı duruma getirmesine neden olabilir.
“Yalnızca yüksek hacimli trafiği belirlemek yeterli değildir. Subaşı, zaman içinde sürekli değişen bu trafiği anlamanız gerektiğini söyledi. “Ağınız, bir saldırı ile Super Bowl gibi trafikte hızlı bir artışa neden olan iyi huylu bir olayı ayırt edebilmelidir. Eylemler birbirine oldukça benziyor.”
Baş müfettiş Kevin Barker’a göre, “Bir saldırı gerçekleşmediğinde ağı kendi başınıza kısmak istemezsiniz.”
PNNL ekibi, algılama doğruluğunu iyileştirme hedefine ulaşmak için eşikler fikrini tamamen ortadan kaldırdı. Bunun yerine grup, bir sistemin düzensizlik derecesinin bir ölçüsü olan entropinin gelişimine odaklandı.
Çoğu durumda, internet her yerde yaygın bir işlev bozukluğu ile karakterize edilir. Öte yandan, bir hizmet reddi saldırısı gerçekleştirilirken iki farklı entropi ölçümü zıt yönlerde hareket eder. Tek bir konuma anormal derecede yüksek sayıda tıklama yönlendirildiğinden, hedef adreste düşük entropi görülebilir. Ancak ister insanlardan, ister zombilerden veya botlardan gelsin, bu tıklamaların kaynağı çok çeşitli konumlara dağılmıştır ve bu da yüksek bir entropi düzeyine işaret eder. Uyumsuzluk, bir saldırı olacağını gösterebilir.
PNNL tarafından yürütülen araştırma, on farklı standart algoritmanın ortalama olarak DOS saldırılarının yüzde 52’sini düzgün bir şekilde tanıdığını ve en üstteki algoritmanın saldırıların yüzde 62’sini doğru bir şekilde tanımladığını buldu. PNNL formülü, bu tür saldırıların neredeyse tamamını (yüzde 99) başarıyla tanıdı.
Kriterlerin elenmesi, iyileştirmeye katkıda bulunan tek faktör değildir. PNNL’den araştırmacılar, doğruluğu daha da artırmak için yöntemlerine bir değişiklik eklediler. Yalnızca belirli bir zaman noktasındaki entropi seviyelerine odaklanmak yerine, çalışma boyunca ortaya çıkan kalıpları da izlediler. Buna ek olarak Subaşı, entropiyi hesaplamak için kullanılabilecek birçok başka yöntemi de araştırdı. Shannon entropi formülü, hizmet reddi saldırılarını tanımlayan çok sayıda algoritmada kullanılır. Bunun yerine Subaşı, bazı temel matematik için genellikle Tsallis entropisi olarak adlandırılan bir formül kullanmaya karar verdi.
Subaşı, konu yanlış alarmları filtrelemek ve gerçek ani olaylarla bir saldırıyı ayırt etmek olduğunda, Tsallis formülünün Shannon formülünden yüzlerce kat daha hassas olduğunu keşfetti. Geçerli bir flaş olaya bir örnek, Dünya Kupası sırasında bir web sitesine gelen yoğun trafiktir.
PNNL tarafından geliştirilen yaklaşım otomatiktir, bu nedenle gerçek trafik ile saldırı arasında ayrım yapmak için bir kişinin yakından gözetimine ihtiyaç duymaz. Araştırmacılar, yazılımlarının “hafif” olduğunu iddia ediyorlar; bu, düzgün çalışması için önemli miktarda işlem gücüne veya ağ kaynaklarına ihtiyaç duymadığı anlamına geliyor. Uzmanlara göre bu, makine öğrenimi ve yapay zekaya dayalı çözümlerden oldukça farklı. Bu yöntemler aynı zamanda eşiklerden kaçınırken, iyi çalışması için önemli miktarda eğitim verisine ihtiyaç duyarlar.
Şimdi PNNL’deki ekip, hizmet reddi saldırılarının 5G ağının kullanıma sunulmasından ve gelişen nesnelerin interneti manzarasından nasıl etkileneceğini araştırıyor.
Şu anda risk altyapısı uzmanı ve araştırmacı olarak çalışan bilgi güvenliği uzmanı.
Risk ve kontrol süreci, güvenlik denetimi desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.