研究人员加强对拒绝服务攻击的防御

科学家们开发出了一种更好的方法来识别常见的互联网攻击，与现有方法相比，检测率提高了90%。这项新技术由美国能源部太平洋西北国家实验室的计算机科学家开发，其工作原理是密切关注互联网上不断变化的流量模式。该研究结果由PNNL科学家OmerSubasi于8月2日在IEEE国际网络安全与弹性会议上发表，该手稿被认为是会议上提出的最佳研究论文。

科学家们修改了最常用于检测拒绝服务攻击的剧本，在这种攻击中，攻击者试图通过大量请求来关闭网站。动机各不相同：攻击者可能持有网站以勒索赎金，或者他们的目的可能是破坏企业或用户。

许多系统尝试依靠称为阈值的原始数字来检测此类攻击。如果尝试访问站点的用户数量超过该数量，则认为可能发生攻击，并触发防御措施。但依赖阈值可能会使系统容易受到攻击。

“阈值并不能提供太多关于系统中实际情况的洞察或信息，”苏巴西说。“简单的阈值很容易错过实际的攻击，从而造成严重的后果，防御者甚至可能不知道发生了什么。”

跟踪混乱为阻止拒绝服务网络攻击的更好方法打开了大门。图片来源：SaraLevine动画|西北太平洋国家实验室

阈值还可能产生误报，而误报本身就会造成严重后果。误报可能会迫使防御者使站点脱机并使合法流量陷入停滞，从而有效地实现真正的拒绝服务攻击(也称为DOS攻击)的目的。

“仅仅检测大量流量是不够的。您需要了解随着时间的推移不断变化的流量，”Subasi说。“您的网络需要能够区分攻击和流量突然激增的无害事件，例如超级碗比赛。行为几乎相同。”

正如首席研究员KevinBarker所说：“当没有发生攻击时，你不想自己限制网络。”

拒绝服务——拒绝

为了提高检测精度，PNNL团队完全回避了阈值的概念。相反，该团队专注于熵的演化，熵是系统无序程度的衡量标准。

通常在互联网上，到处都是一致的混乱。但在拒绝服务攻击期间，两种熵度量的方向相反。在目标地址，比平常更多的点击会到达一个地方，这是一种低熵状态。但这些点击的来源，无论是人、僵尸还是机器人，都起源于许多不同的地方——高熵。这种不匹配可能意味着攻击。

在PNNL的测试中，10种标准算法平均正确识别了52%的DOS攻击;最好的一个能够正确识别62%的攻击。PNNL公式正确识别了99%的此类攻击。

这种改进不仅仅归因于避免了阈值。为了进一步提高准确性，PNNL团队增加了一些新的变化，不仅关注静态熵水平，还关注随时间变化的趋势。

公式与公式：获胜的Tsallis熵

此外，苏巴西探索了计算熵的替代方案。许多拒绝服务检测算法都依赖于香农熵的公式。苏巴西最终选择了一个称为Tsallis熵的公式来计算一些基础数学。

Subasi发现，在消除误报和区分合法突发事件(例如世界杯网站的高流量)和攻击方面，Tsallis公式比香农公式灵敏数百倍。

这是因为Tsallis公式比Shannon公式更能放大熵率的差异。想想我们如何测量温度。如果我们的温度计分辨率为200度，那么室外温度看起来总是相同的。但如果分辨率为2度或更低(就像大多数温度计一样)，我们每天都会多次检测到骤降和尖峰。苏巴西表明，这与熵的微妙变化类似，可以通过一个公式检测到，但不能通过另一个公式检测到。

PNNL解决方案是自动化的，不需要人工密切监督来区分合法流量和攻击。研究人员表示，他们的程序是“轻量级的”——它不需要太多的计算能力或网络资源来完成其工作。研究人员表示，这与基于机器学习和人工智能的解决方案不同。虽然这些方法也避免了阈值，但它们需要大量的训练数据。

现在，PNNL团队正在研究5G网络的建设和蓬勃发展的物联网领域将如何对拒绝服务攻击产生影响。

巴克说：“随着越来越多的设备和系统连接到互联网，恶意攻击系统的机会比以前更多。”“每天都有越来越多的设备，如家庭安全系统、传感器甚至科学仪器被添加到网络中。我们需要尽一切努力阻止这些攻击。”