Новый инструмент на основе ИИ для обнаружения DDoS-атак.

Киберпреступники придумывают все более изощренные способы нарушить работу онлайн-сервисов, получить доступ к конфиденциальным данным или вывести из строя устройства пользователей Интернета. Кибератака, которая стала очень распространенной за последние десятилетия, — это так называемая распределенная атака типа «отказ в обслуживании» (DDoS).

Этот тип атаки включает в себя ряд устройств, подключенных к Интернету, которые в совокупности называются «ботнетом». Затем эта «группа» подключенных устройств используется для заполнения целевого сервера или веб-сайта «фальшивым» трафиком, нарушая его работу и делая его недоступным для законных пользователей.

Чтобы защитить свой веб-сайт или серверы от DDoS-атак, предприятия и другие пользователи обычно используют брандмауэры, антивирусное программное обеспечение или обычные системы обнаружения вторжений. Тем не менее, обнаружение этих атак сегодня может быть очень сложным, поскольку они часто осуществляются с использованием генеративно-состязательных сетей (GAN), методов машинного обучения, которые могут научиться реалистично имитировать действия реальных пользователей и законные пользовательские запросы.

В результате многие существующие системы защиты от вредоносных программ в конечном итоге не могут защитить пользователей от них.

Исследователи из Парижского политехнического института Telecom Paris (INFRES) недавно разработали новый вычислительный метод, который может более эффективно и надежно обнаруживать DDoS-атаки. Этот метод, представленный в статье, опубликованной в Computers & Security , основан на модели долговременной кратковременной памяти (LSTM), типе рекуррентной нейронной сети (RNN), которая может научиться обнаруживать долгосрочные зависимости в последовательностях событий.

«Наша исследовательская работа была основана на проблеме обнаружения DDoS-атак, типа кибератак, которые могут нанести значительный ущерб онлайн-сервисам и сетевым коммуникациям», — сказал Tech Xplore Али Мустафа, один из исследователей, проводивших исследование. «Хотя в предыдущих исследованиях изучалось использование алгоритмов глубокого обучения для обнаружения DDoS-атак, эти подходы все еще могут быть уязвимы для злоумышленников, которые используют методы машинного обучения и глубокого обучения для создания враждебного атакующего трафика, способного обходить системы обнаружения».

В рамках своего исследования Мустафа и его коллеги решили разработать совершенно новый подход на основе машинного обучения, который мог бы повысить устойчивость систем обнаружения DDoS. Предложенный ими метод основан на двух отдельных моделях, которые можно интегрировать в единую систему обнаружения вторжений.

«Первая модель предназначена для определения того, является ли входящий сетевой трафик враждебным, и блокирования его, если он считается мошенническим», — пояснил Мустафа. «В противном случае он перенаправляется во вторую модель, которая отвечает за определение того, является ли это DDoS-атакой. В зависимости от результатов этого анализа используется соответствующий набор правил и система оповещения».

Инструмент обнаружения DDoS, предложенный этой группой исследователей, имеет множество преимуществ по сравнению с другими системами обнаружения вторжений, разработанными в прошлом. В частности, он надежен и может обнаруживать DDoS-атаки с высокой степенью точности, он адаптируется, а также может быть адаптирован для удовлетворения уникальных потребностей конкретных предприятий или пользователей. Кроме того, он может быть легко развернут поставщиками интернет-услуг (ISP), защищая их как от стандартных, так и от враждебных DDoS-атак.

«Наше исследование дало несколько примечательных результатов и достижений», — пояснил Мустафа. «Первоначально мы оценили высокопроизводительные модели, обученные выявлять стандартные DDoS-атаки, протестировав их против состязательных DDoS-атак, генерируемых через генеративно-состязательные сети (GAN). Мы заметили, что модели были относительно неэффективны при обнаружении этих типов атак; однако, мы смогли усовершенствовать наш подход и улучшить его для обнаружения этих атак с точностью, превышающей 91%».

Первоначальные тесты, проведенные Мустафой и его коллегами, дали очень многообещающие результаты, поскольку они показали, что их система может также обнаруживать более сложные атаки, специально разработанные для обмана алгоритмов машинного обучения. Чтобы еще больше продемонстрировать потенциал своего инструмента, исследователи также провели серию тестов в режиме реального времени. Они обнаружили, что система удовлетворяет требованиям обнаружения DDoS-атак в режиме реального времени, извлекая и анализируя сетевые пакеты за ограниченное время и не вызывая существенных задержек сетевого трафика.

Многообещающий метод, представленный в этой статье, вскоре может быть интегрирован в существующие и вновь разрабатываемые системы безопасности. Кроме того, это может вдохновить на разработку аналогичных методов машинного обучения для обнаружения DDoS-атак.

«Поскольку мы планируем будущую работу, будет важно оценить эффективность нашей IDS в условиях состязательных атак, генерируемых альтернативными моделями», — добавил Мустафа. «Кроме того, нам необходимо изучить реализацию алгоритмов онлайн-обучения, которые позволяют IDS постоянно обновлять свою модель в режиме реального времени по мере анализа новых данных. Благодаря интеграции функции добавочного обновления IDS может сохранить свою эффективность в обнаружении эволюционирующих атак».