Nowe narzędzia oparte na sztucznej inteligencji do wykrywania ataków DDoS

Cyberprzestępcy wymyślają coraz sprytniejsze sposoby zakłócania usług online, uzyskiwania dostępu do poufnych danych lub doprowadzania do awarii urządzeń użytkowników Internetu. Cyberatak, który stał się bardzo powszechną metodą w ostatnich dziesięcioleciach, to tak zwana operacja typu Distributed Denial of Service (DDoS). Ten rodzaj działania obejmuje szereg urządzeń podłączonych do Internetu, które są wspólnie określane jako: „botnet”. Ta grupa sprzętów jest następnie wykorzystywana do zalewania docelowego serwera lub strony internetowej fałszywym ruchem. Zakłóca to funkcjonowanie witryny i uniemożliwia dostęp do niej użytkownikom.

Aby zabezpieczyć swoją stronę WWW lub serwery przed atakami DDoS, firmy i inne jednostki często używają firewalli, aplikacji chroniących przed złośliwym oprogramowaniem lub konwencjonalnych systemów wykrywania włamań. Jednak wyłapanie tego typu działań może być dziś bardzo trudne, ponieważ często są one przeprowadzane przy użyciu generatywnych sieci neuralnych (GAN), technik uczenia maszynowego, które mogą realistycznie naśladować aktywność prawdziwych użytkowników i uzasadnione ich żądania. W rezultacie wiele istniejących mechanizmów chroniących przed złośliwym oprogramowaniem ostatecznie nie zabezpiecza przed najnowszymi sposobami ataków.

Naukowcy z Institut Polytechnique de Paris, Telecom Paris (INFRES) opracowali niedawno nową metodę obliczeniową, która może skuteczniej i niezawodnie wykrywać operacje pokroju DDoS. Technika ta, przedstawiona w artykule opublikowanym w: „Computers & Security”, opiera się na modelu pamięci długoterminowej (LSTM), rodzaju powtarzającej się sieci neuronowej (RNN), która może nauczyć się wychwytywać długoterminowe zależności w sekwencjach zdarzeń. „Nasz artykuł badawczy bazował na problemie wykrywania akcji DDoS, formie cyberataków, które mogą spowodować znaczne szkody w usługach online i komunikacji sieciowej” — powiedział Ali Mustapha, jeden z naukowców, którzy przeprowadzili eksperyment. „Podczas gdy poprzednie testy dotyczyły spożytkowania algorytmów głębokiego uczenia się do wyłapywania operacji typu DDoS, podejścia te mogą nadal być podatne. Jako że atakujący wykorzystują uczenie maszynowe oraz ww. głębokie do tworzenia szkodliwego ruchu zdolnego do ominięcia mechanizmów wykrywania”.



W ramach swoich badań Mustapha i jego współpracownicy postanowili opracować całkowicie nowy sposób, który mógłby poprawić odporność systemów wychwytywania operacji typu DDoS. Ten miałby być oparty na uczeniu maszynowym, acz zaproponowana przez nich metoda bazowałaby na dwóch oddzielnych modelach, które można zintegrować w jeden mechanizm wyłapywania włamań.
„Pierwszy model ma na celu ustalenie, czy przychodzący ruch sieciowy jest wrogi, a także zablokowanie go, jeśli zostanie uznany za oszukańczy” — wyjaśnił Mustapha. „W przeciwnym razie jest następnie przekazywany do drugiego modelu, który odpowiada za identyfikację, czy stanowi on naruszenie typu DDoS. W zależności od wyniku tej analizy stosowany jest odpowiedni zestaw reguł i mechanizm ostrzegania”. Narzędzie do wykrywania DDoS zaproponowane przez ten zespół badaczy ma wiele zalet w porównaniu z innymi przygotowanymi w przeszłości. Przede wszystkim jest niezawodne i może wychwytywać ataki DDoS z dużą dokładnością; można je dostosować do unikalnych potrzeb określonych firm lub użytkowników. Ponadto może być łatwo wdrażane przez dostawców usług internetowych (ISP), chroniąc ich zarówno przed standardowymi, jak i wrogimi akcjami DDoS.

„Nasze badanie przyniosło kilka godnych uwagi wyników i osiągnięć” — wyjaśnił Mustapha. „Początkowo oceniliśmy modele o wysokiej wydajności, które są przeszkolone w zakresie identyfikowania typowych ataków DDoS, testując je pod kątem wrogich operacji DDoS prokurowanych przez sieci Generative Adversarial Networks (GAN). Zaobserwowaliśmy, że modele były stosunkowo nieskuteczne w wykrywaniu tego typu akcji; jednak byliśmy w stanie udoskonalić nasze podejście, aby wyłapywać takie działania z dokładnością przekraczającą 91%”. Wstępne testy przeprowadzone przez Mustaphę i jego współpracowników przyniosły bardzo obiecujące rezultaty, ponieważ pokazały, że ich system może również wychwytywać bardziej wyrafinowane naruszenia zaprojektowane specjalnie w celu oszukania algorytmów uczenia maszynowego. Aby dodatkowo zademonstrować potencjał swojego narzędzia, naukowcy przeprowadzili serię testów w czasie rzeczywistym. Okazało się, że mechanizm spełnia wymagania dotyczące wykrywania ataków DDoS na bieżąco, wyodrębniając i analizując pakiety sieciowe w ograniczonym periodzie i bez powodowania znacznych opóźnień w ruchu sieciowym.

Obiecująca metoda przedstawiona w tym artykule może wkrótce zostać zintegrowana z istniejącymi i nowo opracowanymi systemami bezpieczeństwa. Ponadto może to zainspirować rozwój podobnych technik uczenia maszynowego do wyłapywania ataków DDoS. „Gdy patrzymy w przyszłość na prace mające dopiero powstać, wiemy, że niezbędna będzie ocena efektywności naszego IDS w obliczu wrogich działań generowanych przez alternatywne modele” — dodał Mustapha. „Dodatkowo musimy zbadać implementację algorytmów uczenia się online, które umożliwiają systemowi IDS ciągłe aktualizowanie modelu w czasie rzeczywistym podczas analizowania nowych danych. Dzięki integracji funkcji aktualizacji przyrostowej mechanizm IDS może zachować swoją skuteczność w wykrywaniu ewoluującej techniki ataków”.

Źródło: https://techxplore.com/news/2023-02-ai-based-tool-ddos.html