Кіберзлочинці винаходять все більш хитрі способи порушити роботу онлайн-служб, отримати доступ до конфіденційних даних або вивести з ладу пристрої користувачів Інтернету. Кібератака, яка стала дуже поширеною протягом останніх десятиліть, є так званою розподіленою відмовою в обслуговуванні (DDoS). Цей тип атаки включає низку пристроїв, підключених до Інтернету, які разом називаються «ботнет». Ця «група» підключених пристроїв потім використовується для заповнення цільового сервера або веб-сайту «фальшивим» трафіком, порушуючи його роботу та роблячи його недоступним для законних користувачів.
Щоб захистити свій веб-сайт або сервери від атак DDoS, компанії та інші користувачі зазвичай використовують брандмауери, програмне забезпечення для захисту від зловмисних програм або звичайні системи виявлення вторгнень. Однак виявлення цих атак сьогодні може бути дуже складним, оскільки вони часто здійснюються за допомогою генеративних змагальних мереж (GAN), методів машинного навчання, які можуть навчитися реалістично імітувати діяльність реальних користувачів і законні запити користувачів.
Як наслідок, багато що існує систем захисту від зловмисного програмного забезпечення зрештою не можуть захистити користувачів від них.
Дослідники з Паризького політехнічного інституту Telecom Paris (INFRES) нещодавно розробили новий обчислювальний метод, який може більш ефективно та надійно виявляти DDoS-атаки. Цей метод, представлений у статті, опублікованій в Computers & Security, базується на моделі довготривалої короткочасної пам’яті (LSTM), типу рекурентної нейронної мережі (RNN), яка може навчитися виявляти довготривалі залежності в послідовностях подій.
«Наша дослідницька стаття базувалася на проблемі виявлення DDoS-атак, типу кібератак, які можуть завдати значної шкоди онлайн-сервісам і мережевим комунікаціям», — сказав Tech Xplore Алі Мустафа, один із дослідників, який проводив дослідження. «У той час, як попередні дослідження вивчали використання алгоритмів глибокого навчання для виявлення DDoS-атак, ці підходи все ще можуть бути вразливими для зловмисників, які використовують методи машинного та глибокого навчання для створення трафіку змагальної атаки, здатного обходити системи виявлення».
У рамках свого дослідження Мустафа та його колеги вирішили розробити абсолютно новий підхід на основі машинного навчання, який міг би підвищити стійкість систем виявлення DDoS. Запропонований ними метод базується на двох окремих моделях, які можна інтегрувати в єдину систему виявлення вторгнень.
«Перша модель розроблена для того, щоб визначити, чи є вхідний мережевий трафік конкурентним, і заблокувати його, якщо він вважається шахрайським», — пояснив Мустафа. «В іншому випадку він пересилається до другої моделі, яка відповідає за визначення того, чи є це DDoS-атака. Залежно від результату цього аналізу використовується відповідний набір правил і система сповіщень».
Інструмент виявлення DDoS, запропонований цією командою дослідників, має численні переваги перед іншими системами виявлення вторгнень, розробленими в минулому. Зокрема, він надійний і може виявляти DDoS-атаки з високим рівнем точності, його можна адаптувати, а також його можна адаптувати для задоволення унікальних потреб конкретних компаній або користувачів. Крім того, він може бути легко розгорнутий інтернет-провайдерами (ISP), захищаючи їх як від стандартних, так і від агресивних DDoS-атак.
«Наше дослідження дало кілька вагомих результатів і досягнень», — пояснив Мустафа. «Спочатку ми оцінювали високопродуктивні моделі, які навчені ідентифікувати стандартні DDoS-атаки, перевіряючи їх проти змагальних DDoS-атак, згенерованих через Generative Adversarial Networks (GAN). Ми помітили, що моделі були відносно неефективними для виявлення таких типів атак; однак ми змогли удосконалити наш підхід і вдосконалити його, щоб виявляти ці атаки з точністю понад 91%».
Початкові тести, проведені Мустафою та його колегами, дали дуже багатообіцяючі результати, оскільки вони показали, що їхня система також може виявляти складніші атаки, спеціально розроблені для обману алгоритмів машинного навчання. Щоб ще більше продемонструвати потенціал свого інструменту, дослідники також провели серію тестів у режимі реального часу. Вони виявили, що система задовольняє вимоги щодо виявлення атак DDoS у реальному часі, витягуючи та аналізуючи мережеві пакети за обмежений проміжок часу та не викликаючи значних затримок мережевого трафіку.
Багатообіцяючий метод, представлений у цій статті, незабаром можна буде інтегрувати в існуючі та нові системи безпеки. Крім того, це може надихнути на розробку подібних методів машинного навчання для виявлення DDoS-атак.
«Оскільки ми дивимося вперед на майбутню роботу, дуже важливо оцінити ефективність нашої IDS, коли протистоїть ворожим атакам, створеним альтернативними моделями», — додав Мустафа. «Крім того, нам потрібно вивчити реалізацію алгоритмів онлайн-навчання, які дозволяють IDS постійно оновлювати свою модель у режимі реального часу під час аналізу нових даних. Завдяки інтеграції функції поступового оновлення IDS може зберегти свою ефективність у виявленні нових атак. техніки».
Comments