RICHLAND, Washington – Wissenschaftler haben eine bessere Methode zur Erkennung eines häufigen Internetangriffs entwickelt und die Erkennung im Vergleich zu aktuellen Methoden um 90 Prozent verbessert.
Die neue Technik, die von Informatikern am Pacific Northwest National Laboratory des Energieministeriums entwickelt wurde, funktioniert, indem sie ein wachsames Auge auf die sich ständig ändernden Verkehrsmuster im Internet behält. Die Ergebnisse wurden am 2. August vom PNNL-Wissenschaftler Omer Subasi auf der IEEE International Conference on Cyber Security and Resilience vorgestellt, wo das Manuskript als bestes Forschungspapier des Treffens ausgezeichnet wurde.
Die Wissenschaftler modifizierten das am häufigsten verwendete Playbook zur Erkennung von Denial-of-Service-Angriffen, bei denen Täter versuchen, eine Website zu schließen, indem sie sie mit Anfragen bombardieren. Die Motive variieren: Angreifer könnten eine Website erpressen, um Lösegeld zu erpressen, oder ihr Ziel könnte darin bestehen, Unternehmen oder Benutzer zu stören.
Die Tracking-Störung hat die Tür zu einer besseren Möglichkeit geöffnet, Denial-of-Service-Cyberangriffe zu stoppen. (Animation von Sara Levine | Pacific Northwest National Laboratory)
Viele Systeme versuchen, solche Angriffe zu erkennen, indem sie sich auf eine Rohzahl verlassen, die als Schwellenwert bezeichnet wird. Steigt die Zahl der Nutzer, die auf eine Seite zugreifen wollen, über diese Zahl, gilt ein Angriff als wahrscheinlich und es werden Abwehrmaßnahmen eingeleitet. Aber wenn man sich auf einen Schwellenwert verlässt, können Systeme angreifbar werden.
„Ein Schwellenwert bietet einfach nicht viele Einblicke oder Informationen darüber, was wirklich in Ihrem System vor sich geht“, sagte Subasi. „Ein einfacher Schwellenwert kann leicht dazu führen, dass tatsächliche Angriffe übersehen werden, was schwerwiegende Folgen hat, und der Verteidiger ist sich möglicherweise nicht einmal bewusst, was passiert.“
Ein Schwellenwert kann auch Fehlalarme auslösen, die selbst schwerwiegende Folgen haben. Falsch-positive Ergebnisse können Verteidiger dazu zwingen, eine Website offline zu schalten und den legitimen Datenverkehr zum Stillstand zu bringen – und damit effektiv das zu bewirken, was ein echter Denial-of-Service-Angriff, auch DOS-Angriff genannt, bewirken soll.
„Es reicht nicht aus, ein hohes Verkehrsaufkommen zu erkennen. Man muss diesen Verkehr verstehen, der sich im Laufe der Zeit ständig weiterentwickelt“, sagte Subasi. „Ihr Netzwerk muss in der Lage sein, zwischen einem Angriff und einem harmlosen Ereignis zu unterscheiden, bei dem der Datenverkehr plötzlich ansteigt, wie zum Beispiel dem Super Bowl. Das Verhalten ist nahezu identisch.“
Wie der leitende Ermittler Kevin Barker sagte: „Sie wollen das Netzwerk nicht selbst drosseln, wenn kein Angriff im Gange ist.“
Denial-of-Service – abgelehnt
Um die Erkennungsgenauigkeit zu verbessern, hat das PNNL-Team das Konzept der Schwellenwerte vollständig umgangen. Stattdessen konzentrierte sich das Team auf die Entwicklung der Entropie, einem Maß für die Unordnung in einem System.
Normalerweise herrscht im Internet überall ständige Unordnung. Aber während eines Denial-of-Service-Angriffs gehen zwei Entropiemaße in entgegengesetzte Richtungen. An der Zieladresse gehen viel mehr Klicks als üblich an einen Ort, ein Zustand niedriger Entropie. Aber die Quellen dieser Klicks, ob Menschen, Zombies oder Bots, haben ihren Ursprung an vielen verschiedenen Orten – hoher Entropie. Die Nichtübereinstimmung könnte auf einen Angriff hinweisen.
In den PNNL-Tests identifizierten zehn Standardalgorithmen durchschnittlich 52 Prozent der DOS-Angriffe korrekt; Das beste Unternehmen erkannte 62 Prozent der Angriffe richtig. Die PNNL-Formel identifizierte 99 Prozent dieser Angriffe korrekt.
Die Verbesserung ist nicht nur auf die Vermeidung von Schwellenwerten zurückzuführen. Um die Genauigkeit noch weiter zu verbessern, fügte das PNNL-Team eine Wendung hinzu, indem es nicht nur die statischen Entropieniveaus betrachtete, sondern auch Trends beobachtete, wie sie sich im Laufe der Zeit ändern.
Formel vs. Formel: Tsallis-Entropie für den Sieg
Darüber hinaus untersuchte Subasi alternative Möglichkeiten zur Berechnung der Entropie. Viele Denial-of-Service-Erkennungsalgorithmen basieren auf einer Formel, die als Shannon-Entropie bekannt ist. Subasi entschied sich stattdessen für eine Formel namens Tsallis-Entropie für einige der zugrunde liegenden Mathematik.
Subasi stellte fest, dass die Tsallis-Formel hundertmal empfindlicher ist als die Shannon-Formel, wenn es darum geht, Fehlalarme auszusortieren und legitime Flash-Ereignisse wie hohen Datenverkehr auf einer WM-Website von einem Angriff zu unterscheiden.
Omer Subasi legte das Konzept der Schwellenwerte beiseite und konzentrierte sich stattdessen auf die Entropie, um die Internetsicherheit zu verbessern. (Foto von Andrea Starr | Pacific Northwest National Laboratory)
Das liegt daran, dass die Tsallis-Formel die Unterschiede in den Entropieraten stärker verstärkt als die Shannon-Formel. Denken Sie daran, wie wir die Temperatur messen. Wenn unser Thermometer eine Auflösung von 200 Grad hätte, würde unsere Außentemperatur immer gleich erscheinen. Aber wenn die Auflösung 2 Grad oder weniger betragen würde – wie bei den meisten Thermometern –, würden wir mehrmals am Tag Einbrüche und Spitzen feststellen. Subasi zeigte, dass es bei subtilen Änderungen der Entropie ähnlich ist, die durch die eine Formel erkennbar sind, durch die andere jedoch nicht.
Die PNNL-Lösung ist automatisiert und erfordert keine genaue Überwachung durch einen Menschen, um zwischen legitimem Datenverkehr und einem Angriff zu unterscheiden. Die Forscher sagen, dass ihr Programm „leichtgewichtig“ ist – es benötigt nicht viel Rechenleistung oder Netzwerkressourcen, um seine Aufgabe zu erfüllen. Dies unterscheide sich von Lösungen, die auf maschinellem Lernen und künstlicher Intelligenz basieren, sagten die Forscher. Während diese Ansätze auch Schwellenwerte vermeiden, erfordern sie eine große Menge an Trainingsdaten.
Jetzt untersucht das PNNL-Team, wie sich der Ausbau der 5G-Netzwerke und die boomende Internet-of-Things-Landschaft auf Denial-of-Service-Angriffe auswirken werden.
„Da so viel mehr Geräte und Systeme mit dem Internet verbunden sind, gibt es viel mehr Möglichkeiten als je zuvor, Systeme böswillig anzugreifen“, sagte Barker. „Und jeden Tag werden immer mehr Geräte wie Heimsicherheitssysteme, Sensoren und sogar wissenschaftliche Instrumente zu Netzwerken hinzugefügt. Wir müssen alles tun, um diese Angriffe zu stoppen.“
Die Arbeit wurde vom Office of Science des DOE finanziert und am Center for Advanced Architecture Evaluation des PNNL durchgeführt, finanziert durch das Advanced Scientific Computing Research-Programm des DOE zur Bewertung neuer Computernetzwerktechnologien. Der PNNL-Wissenschaftler Joseph Manzano ist ebenfalls Autor der Studie.
Mit freundlicher Genehmigung von Pacific Northwest National Laboratory.
Ich mag keine Paywalls. Du magst keine Paywalls. Wer mag Paywalls? Hier bei CleanTechnica haben wir eine Zeit lang eine begrenzte Paywall eingeführt, aber es fühlte sich immer falsch an – und es war immer schwer zu entscheiden, was wir dahinter platzieren sollten. Theoretisch bleiben Ihre exklusivsten und besten Inhalte hinter einer Paywall. Aber dann lesen es weniger Leute! Wir mögen Paywalls einfach nicht und haben daher beschlossen, unsere aufzugeben.
Leider ist das Mediengeschäft immer noch ein hartes, mörderisches Geschäft mit geringen Margen. Es ist eine nie endende olympische Herausforderung, über Wasser zu bleiben oder vielleicht sogar – keuchen – wachsen. So …