.
Os cientistas desenvolveram uma maneira melhor de reconhecer um ataque comum na Internet, melhorando a detecção em 90% em comparação com os métodos atuais.
A nova técnica desenvolvida por cientistas da computação no Laboratório Nacional do Pacífico Noroeste do Departamento de Energia funciona mantendo um olhar atento sobre os padrões de tráfego em constante mudança na internet. As descobertas foram apresentadas em 2 de agosto pelo cientista do PNNL Omer Subasi na IEEE International Conference on Cyber Security and Resilience, onde o manuscrito foi reconhecido como o melhor trabalho de pesquisa apresentado na reunião.
Os cientistas modificaram o manual mais comumente usado para detectar ataques de negação de serviço, em que os criminosos tentam fechar um site bombardeando-o com solicitações. Os motivos variam: os invasores podem manter um site para resgate ou seu objetivo pode ser interromper negócios ou usuários.
Muitos sistemas tentam detectar tais ataques confiando em um número bruto chamado limite. Se o número de usuários tentando acessar um site ultrapassar esse número, um ataque é considerado provável e medidas defensivas são acionadas. Mas confiar em um limite pode deixar os sistemas vulneráveis.
“Um limite simplesmente não oferece muita percepção ou informação sobre o que realmente está acontecendo em seu sistema”, disse Subasi. “Um simples limiar pode facilmente perder ataques reais, com sérias consequências, e o defensor pode nem estar ciente do que está acontecendo.”
Um limite também pode criar alarmes falsos que têm sérias consequências. Os falsos positivos podem forçar os defensores a colocar um site offline e paralisar o tráfego legítimo – efetivamente fazendo o que um ataque real de negação de serviço, também conhecido como ataque DOS, pretende fazer.
“Não é suficiente detectar tráfego de alto volume. Você precisa entender esse tráfego, que está em constante evolução ao longo do tempo”, disse Subasi. “Sua rede precisa ser capaz de diferenciar entre um ataque e um evento inofensivo em que o tráfego aumenta repentinamente, como o Super Bowl. O comportamento é quase idêntico.”
Como disse o investigador principal Kevin Barker: “Você não quer limitar a rede sozinho quando não há um ataque em andamento.”
Negação de serviço – negado
Para melhorar a precisão da detecção, a equipe do PNNL evitou completamente o conceito de limites. Em vez disso, a equipe se concentrou na evolução da entropia, uma medida de desordem em um sistema.
Normalmente na internet, há desordem consistente em todos os lugares. Mas durante um ataque de negação de serviço, duas medidas de entropia vão em direções opostas. No endereço de destino, muito mais cliques do que o normal vão para um lugar, um estado de baixa entropia. Mas as fontes desses cliques, sejam pessoas, zumbis ou bots, se originam em muitos lugares diferentes – alta entropia. A incompatibilidade pode significar um ataque.
Nos testes do PNNL, 10 algoritmos padrão identificaram corretamente em média 52% dos ataques DOS; o melhor identificou corretamente 62% dos ataques. A fórmula PNNL identificou corretamente 99% desses ataques.
A melhoria não se deve apenas a evitar limites. Para melhorar ainda mais a precisão, a equipe do PNNL adicionou uma reviravolta, não apenas observando os níveis de entropia estática, mas também observando as tendências à medida que mudam com o tempo.
Fórmula vs. fórmula: entropia de Tsallis para a vitória
Além disso, Subasi explorou opções alternativas para calcular a entropia. Muitos algoritmos de detecção de negação de serviço dependem de uma fórmula conhecida como entropia de Shannon. Em vez disso, Subasi estabeleceu uma fórmula conhecida como entropia de Tsallis para parte da matemática subjacente.
Subasi descobriu que a fórmula de Tsallis é centenas de vezes mais sensível do que Shannon para eliminar alarmes falsos e diferenciar eventos flash legítimos, como alto tráfego para um site da Copa do Mundo, de um ataque.
Isso porque a fórmula de Tsallis amplifica as diferenças nas taxas de entropia mais do que a fórmula de Shannon. Pense em como medimos a temperatura. Se nosso termômetro tivesse uma resolução de 200 graus, nossa temperatura externa pareceria sempre a mesma. Mas se a resolução fosse de 2 graus ou menos, como a maioria dos termômetros, detectaríamos quedas e picos várias vezes ao dia. Subasi mostrou que é semelhante com mudanças sutis na entropia, detectáveis por meio de uma fórmula, mas não da outra.
A solução PNNL é automatizada e não requer supervisão de um ser humano para distinguir entre tráfego legítimo e um ataque. Os pesquisadores dizem que seu programa é “leve” – não precisa de muito poder de computação ou recursos de rede para fazer seu trabalho. Isso é diferente de soluções baseadas em aprendizado de máquina e inteligência artificial, disseram os pesquisadores. Embora essas abordagens também evitem limites, elas exigem uma grande quantidade de dados de treinamento.
Agora, a equipe do PNNL está analisando como a construção da rede 5G e o cenário de expansão da internet das coisas terão um impacto nos ataques de negação de serviço.
“Com muito mais dispositivos e sistemas conectados à Internet, há muito mais oportunidades do que antes para atacar sistemas de forma maliciosa”, disse Barker. “E mais e mais dispositivos como sistemas de segurança doméstica, sensores e até mesmo instrumentos científicos são adicionados às redes todos os dias. Precisamos fazer tudo o que pudermos para impedir esses ataques.”
O trabalho foi financiado pelo Office of Science do DOE e foi realizado no Centro de Avaliação de Arquitetura Avançada do PNNL, financiado pelo programa de Pesquisa Científica Avançada em Computação do DOE para avaliar tecnologias emergentes de rede de computação. O cientista do PNNL Joseph Manzano também é autor do estudo.
.
