RICHLAND, Washington — Gli scienziati hanno sviluppato un modo migliore per riconoscere un comune attacco Internet, migliorando il rilevamento del 90% rispetto ai metodi attuali.
La nuova tecnica sviluppata dagli informatici del Pacific Northwest National Laboratory del Dipartimento dell’Energia funziona tenendo d’occhio i modelli di traffico in continua evoluzione su Internet. I risultati sono stati presentati il 2 agosto dallo scienziato del PNNL Omer Subasi alla IEEE International Conference on Cyber Security and Resilience, dove il manoscritto è stato riconosciuto come il miglior documento di ricerca presentato all’incontro.
Gli scienziati hanno modificato il playbook più comunemente utilizzato per rilevare gli attacchi denial-of-service, in cui gli autori tentano di chiudere un sito Web bombardandolo di richieste. Le motivazioni variano: gli aggressori potrebbero trattenere un sito Web per il riscatto o il loro obiettivo potrebbe essere quello di interrompere le attività commerciali o gli utenti.
Il monitoraggio del disturbo ha aperto la porta a un modo migliore per fermare gli attacchi informatici denial-of-service. (Animazione di Sara Levine | Pacific Northwest National Laboratory)
Molti sistemi tentano di rilevare tali attacchi basandosi su un numero grezzo chiamato soglia. Se il numero di utenti che tentano di accedere a un sito supera tale numero, viene considerato probabile un attacco e vengono attivate misure difensive. Ma fare affidamento su una soglia può lasciare i sistemi vulnerabili.
“Una soglia semplicemente non offre molte informazioni o informazioni su ciò che sta realmente accadendo nel tuo sistema”, ha affermato Subasi. “Una semplice soglia può facilmente mancare attacchi reali, con gravi conseguenze, e il difensore potrebbe anche non essere consapevole di ciò che sta accadendo.”
Una soglia può anche creare falsi allarmi che hanno conseguenze gravi. I falsi positivi possono costringere i difensori a mettere offline un sito e bloccare il traffico legittimo, facendo effettivamente ciò che un vero attacco denial-of-service, noto anche come attacco DOS, mira a fare.
“Non è sufficiente rilevare il traffico ad alto volume. Devi capire quel traffico, che è in continua evoluzione nel tempo “, ha affermato Subasi. “La tua rete deve essere in grado di distinguere tra un attacco e un evento innocuo in cui il traffico aumenta improvvisamente, come il Super Bowl. Il comportamento è quasi identico.
Come ha detto l’investigatore principale Kevin Barker: “Non vuoi limitare la rete da solo quando non c’è un attacco in corso”.
Denial-of-service: negato
Per migliorare l’accuratezza del rilevamento, il team PNNL ha eluso completamente il concetto di soglia. Invece, il team si è concentrato sull’evoluzione dell’entropia, una misura del disordine in un sistema.
Di solito su Internet c’è un disordine costante ovunque. Ma durante un attacco denial-of-service, due misure di entropia vanno in direzioni opposte. All’indirizzo di destinazione, molti più clic del solito vanno in un posto, uno stato di bassa entropia. Ma le fonti di quei clic, che siano persone, zombi o robot, hanno origine in molti luoghi diversi: alta entropia. La mancata corrispondenza potrebbe significare un attacco.
Nei test del PNNL, 10 algoritmi standard hanno identificato correttamente in media il 52% degli attacchi DOS; il migliore ha identificato correttamente il 62% degli attacchi. La formula PNNL ha identificato correttamente il 99% di tali attacchi.
Il miglioramento non è dovuto solo all’elusione delle soglie. Per migliorare ulteriormente la precisione, il team PNNL ha aggiunto una svolta non solo osservando i livelli di entropia statica, ma anche osservando le tendenze mentre cambiano nel tempo.
Formula contro formula: entropia di Tsallis per la vittoria
Inoltre, Subasi ha esplorato opzioni alternative per calcolare l’entropia. Molti algoritmi di rilevamento denial-of-service si basano su una formula nota come entropia di Shannon. Subasi ha invece optato per una formula nota come entropia di Tsallis per alcune delle matematiche sottostanti.
Subasi ha scoperto che la formula di Tsallis è centinaia di volte più sensibile di Shannon nell’eliminare i falsi allarmi e nel differenziare eventi flash legittimi, come un traffico elevato verso un sito web della Coppa del Mondo, da un attacco.
Omer Subasi ha messo da parte il concetto di soglia, concentrandosi invece sull’entropia, per migliorare la sicurezza di Internet. (Foto di Andrea Starr | Pacific Northwest National Laboratory)
Questo perché la formula di Tsallis amplifica le differenze nei tassi di entropia più della formula di Shannon. Pensa a come misuriamo la temperatura. Se il nostro termometro avesse una risoluzione di 200 gradi, la nostra temperatura esterna sembrerebbe sempre la stessa. Ma se la risoluzione fosse di 2 gradi o meno, come la maggior parte dei termometri, rileveremmo cali e picchi molte volte al giorno. Subasi ha mostrato che è simile con sottili cambiamenti nell’entropia, rilevabili attraverso una formula ma non l’altra.
La soluzione PNNL è automatizzata e non richiede una stretta supervisione da parte di un essere umano per distinguere tra traffico legittimo e attacco. I ricercatori affermano che il loro programma è “leggero”: non ha bisogno di molta potenza di calcolo o risorse di rete per svolgere il suo lavoro. Questo è diverso dalle soluzioni basate sull’apprendimento automatico e sull’intelligenza artificiale, hanno affermato i ricercatori. Sebbene questi approcci evitino anche le soglie, richiedono una grande quantità di dati di addestramento.
Ora, il team PNNL sta esaminando come la creazione di reti 5G e il boom del panorama dell’internet delle cose avranno un impatto sugli attacchi denial-of-service.
“Con così tanti più dispositivi e sistemi connessi a Internet, ci sono molte più opportunità rispetto a prima di attaccare i sistemi in modo dannoso”, ha affermato Barker. “E ogni giorno vengono aggiunti alle reti sempre più dispositivi come sistemi di sicurezza domestica, sensori e persino strumenti scientifici. Dobbiamo fare tutto il possibile per fermare questi attacchi”.
Il lavoro è stato finanziato dall’Office of Science del DOE ed è stato svolto presso il Center for Advanced Architecture Evaluation del PNNL, finanziato dal programma Advanced Scientific Computing Research del DOE per valutare le tecnologie di rete informatiche emergenti. Anche lo scienziato del PNNL Joseph Manzano è un autore dello studio.
Per gentile concessione del Pacific Northwest National Laboratory.
Non mi piacciono i paywall. Non ti piacciono i paywall. A chi piacciono i paywall? Qui a CleanTechnica, abbiamo implementato un paywall limitato per un po’ di tempo, ma ci è sempre sembrato sbagliato ed è stato sempre difficile decidere cosa metterci dietro. In teoria, i tuoi contenuti più esclusivi e migliori vanno dietro un paywall. Ma poi meno persone lo leggono! Semplicemente non ci piacciono i paywall, quindi abbiamo deciso di abbandonare il nostro.
Sfortunatamente, il business dei media è ancora un business duro e spietato con margini esigui. Stare fuori dall’acqua è una sfida olimpica senza fine o forse anche… sussulto – crescere. COSÌ …