En comparación con los enfoques que se utilizan ahora, las capacidades de detección de un ataque típico de Internet han mejorado mucho gracias al trabajo realizado por los científicos. Mantener una estrecha vigilancia sobre los patrones de tráfico en constante cambio en Internet es la clave del éxito. Un nuevo método que fue creado por científicos informáticos que trabajan en el Laboratorio Nacional del Noroeste del Pacífico, que forma parte del Departamento de Energía. Los resultados fueron presentados el 2 de agosto por el científico del PNNL Omer Subasi en la Conferencia Internacional IEEE sobre Seguridad Cibernética y Resiliencia, donde el artículo fue reconocido como el mejor trabajo de investigación presentado en la reunión. La conferencia también reconoció la publicación como el mejor trabajo de investigación presentado en la reunión.
Los científicos modificaron el libro de jugadas que se usa más comúnmente para detectar ataques de denegación de servicio, en los que los perpetradores intentan poner de rodillas un sitio web inundándolo con solicitudes. Los atacantes pueden estar reteniendo un sitio web como rehén a cambio de un rescate, pero también podrían estar tratando de interrumpir a los usuarios o empresas. Una gran mayoría de los sistemas dependen de un número sin procesar denominado umbral para intentar identificar este tipo de ataques. Si ese umbral es superado por la cantidad de personas que intentan visitar un sitio web, se determina que un ataque es muy probable y se implementan medidas de protección. Sin embargo, dependiendo de un umbral, los sistemas pueden ser susceptibles de ser atacados.
“Un umbral en realidad no da ninguna idea o información sobre lo que realmente está pasando en su sistema”, dijo Subasi. “Un umbral sencillo tiene una buena posibilidad de perder ataques reales, lo que puede tener graves repercusiones, y es posible que el defensor ni siquiera se dé cuenta de que esto está sucediendo”.
Un umbral tiene el potencial de generar falsas alarmas, cualquiera de las cuales puede tener repercusiones significativas por sí sola. Un ataque de denegación de servicio real, a menudo conocido como ataque DOS , busca lograr de manera efectiva lo que puede hacer un falso positivo: obligar a los defensores a cerrar un sitio y detener el tráfico genuino. Los falsos positivos pueden hacer que los defensores desconecten un sitio.
“No es suficiente solo identificar el tráfico de alto volumen. Tienes que tener una comprensión de ese tráfico, que siempre está cambiando con el transcurso del tiempo, dijo Subasi. “Su red debe poder distinguir entre un ataque y un evento benigno que provoca un aumento rápido en el tráfico, como el Super Bowl. Las acciones son bastante similares entre sí”.
De acuerdo con Kevin Barker, el investigador principal, “no desea estrangular la red usted mismo cuando no hay un ataque en curso”.
El equipo de PNNL eludió por completo la idea de los umbrales para lograr su objetivo de mejorar la precisión de detección. En cambio, el grupo se concentró en el desarrollo de la entropía, que es una medida del grado de desorden de un sistema.
En la mayoría de los casos, Internet se caracteriza por una disfunción generalizada en todos los lugares. Por otro lado, dos medidas diferentes de entropía se mueven en direcciones opuestas mientras se lleva a cabo un ataque de denegación de servicio. Es posible que se observe una entropía baja en la dirección de destino porque se dirige una cantidad anormalmente alta de clics a una sola ubicación. Pero los orígenes de esos clics, ya sea que provengan de humanos, zombis o bots, están dispersos en una amplia variedad de ubicaciones, lo que indica un alto nivel de entropía. El desajuste puede indicar que habrá un ataque.
La investigación realizada por PNNL encontró que diez algoritmos estándar diferentes reconocieron correctamente, en promedio, el 52 por ciento de los ataques de DOS, y el algoritmo superior identificó con precisión el 62 por ciento de los ataques. La fórmula del PNNL reconoció con éxito casi todos estos tipos de agresiones (99 por ciento).
La eliminación de criterios no es el único factor que contribuye a la mejora. Los investigadores del PNNL agregaron un giro a su método para aumentar aún más la precisión. En lugar de centrarse solo en los niveles de entropía en un momento determinado, también monitorearon los patrones que surgieron a lo largo del curso del estudio. Además, Subasi investigó muchos otros métodos que pueden usarse para calcular la entropía. La fórmula de entropía de Shannon se utiliza en un gran número de algoritmos que identifican ataques de denegación de servicio. En cambio, Subasi decidió usar una fórmula que a menudo se conoce como entropía de Tsallis para algunas de las matemáticas fundamentales.
Subasi descubrió que la fórmula de Tsallis es cientos de veces más sensible que la fórmula de Shannon cuando se trata de filtrar falsas alarmas y distinguir entre eventos relámpago reales y un ataque. Un ejemplo de un evento flash válido es el tráfico intenso a un sitio web durante la Copa del Mundo.
El enfoque desarrollado por PNNL está automatizado, por lo que no necesita una estrecha supervisión por parte de una persona para diferenciar entre el tráfico genuino y un ataque. Los investigadores afirman que su software es “ligero”, lo que significa que no necesita una cantidad significativa de potencia de procesamiento o recursos de red para funcionar correctamente. Según los expertos, esto es bastante diferente de las soluciones que se basan en el aprendizaje automático y la inteligencia artificial. Si bien estos métodos también evitan los umbrales, necesitan una cantidad significativa de datos de entrenamiento para funcionar bien.
Ahora, el equipo de PNNL está investigando cómo los ataques de denegación de servicio se verán afectados por la implementación de redes 5G y el floreciente panorama del Internet de las cosas.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.