Una nueva herramienta basada en IA para detectar ataques DDoS

Los ciberdelincuentes están ideando formas cada vez más inteligentes de interrumpir los servicios en línea, acceder a datos confidenciales o bloquear los dispositivos de los usuarios de Internet. Un ciberataque que se ha vuelto muy común en las últimas décadas es el llamado ataque Distributed Denial of Service (DDoS).

Este tipo de ataque involucra una serie de dispositivos conectados a Internet, que se denominan colectivamente «botnet». Este «grupo» de dispositivos conectados se usa para inundar un servidor o sitio web de destino con tráfico «falso», interrumpiendo su funcionamiento y haciéndolo inaccesible para los usuarios legítimos.

Para proteger su sitio web o sus servidores de los ataques DDoS, las empresas y otros usuarios suelen utilizar cortafuegos, software antimalware o sistemas convencionales de detección de intrusos. Sin embargo, la detección de estos ataques puede ser un gran desafío hoy en día, ya que a menudo se llevan a cabo utilizando redes antagónicas generativas (GAN), técnicas de aprendizaje automático que pueden aprender a imitar de manera realista la actividad de los usuarios reales y las solicitudes legítimas de los usuarios.

Como resultado, muchos sistemas antimalware existentes finalmente fallan en proteger a los usuarios contra ellos.

Investigadores del Institut Polytechnique de Paris, Telecom Paris (INFRES) han desarrollado recientemente un nuevo método computacional que podría detectar ataques DDoS de forma más eficaz y fiable. Este método, introducido en un artículo publicado en Informática y Seguridadse basa en un modelo de memoria a largo plazo (LSTM), un tipo de red neuronal recurrente (RNN) que puede aprender a detectar dependencias a largo plazo en secuencias de eventos.

«Nuestro trabajo de investigación se basó en el problema de detectar ataques DDoS, un tipo de ataques cibernéticos que pueden causar daños significativos a los servicios en línea y la comunicación en red», dijo a Tech Xplore Ali Mustapha, uno de los investigadores que llevó a cabo el estudio. «Si bien estudios anteriores han explorado el uso de algoritmos de aprendizaje profundo para detectar ataques DDoS, estos enfoques aún pueden ser vulnerables a los atacantes que utilizan técnicas de aprendizaje automático y aprendizaje profundo para crear tráfico de ataque adversario capaz de eludir los sistemas de detección».

Como parte de su estudio, Mustapha y sus colegas se propusieron diseñar un enfoque completamente nuevo basado en el aprendizaje automático que podría mejorar la resiliencia de los sistemas de detección de DDoS. El método que propusieron se basa en dos modelos separados que se pueden integrar en un solo sistema de detección de intrusos.

«El primer modelo está diseñado para determinar si el tráfico de red entrante es contradictorio y bloquearlo si se considera fraudulento», explicó Mustapha. «De lo contrario, se reenvía al segundo modelo, que es responsable de identificar si constituye un ataque DDoS. Dependiendo del resultado de este análisis, se emplea un conjunto de reglas correspondiente y un sistema de alerta».

La herramienta de detección de DDoS propuesta por este equipo de investigadores presenta numerosas ventajas frente a otros sistemas de detección de intrusos desarrollados en el pasado. En particular, es robusto y puede detectar ataques DDoS con altos niveles de precisión, es adaptable y también podría adaptarse para satisfacer las necesidades únicas de empresas o usuarios específicos. Además, los proveedores de servicios de Internet (ISP) pueden implementarlo fácilmente, al tiempo que los protege contra ataques DDoS estándar y adversarios.

«Nuestro estudio arrojó varios resultados y logros notables», explicó Mustapha. «Inicialmente, evaluamos modelos de alto rendimiento que están entrenados para identificar ataques DDoS estándar, probándolos contra ataques DDoS adversarios generados a través de redes adversarias generativas (GAN). Observamos que los modelos eran relativamente ineficaces para detectar este tipo de ataques; sin embargo, pudimos refinar nuestro enfoque y mejorarlo para detectar estos ataques con una precisión superior al 91 %».

Las pruebas iniciales realizadas por Mustapha y sus colegas arrojaron resultados muy prometedores, ya que demostraron que su sistema también podía detectar ataques más sofisticados diseñados específicamente para engañar a los algoritmos de aprendizaje automático. Para demostrar aún más el potencial de su herramienta, los investigadores también llevaron a cabo una serie de pruebas en tiempo real. Descubrieron que el sistema cumplía con los requisitos de detección de ataques DDoS en tiempo real, extrayendo y analizando paquetes de red en un período de tiempo limitado y sin causar retrasos sustanciales en el tráfico de red.

El método prometedor presentado en este documento pronto podría integrarse dentro de los sistemas de seguridad existentes y recientemente desarrollados. Además, podría inspirar el desarrollo de técnicas similares de aprendizaje automático para detectar ataques DDoS.

«Mientras miramos hacia el trabajo futuro, será esencial evaluar la eficacia de nuestro IDS cuando se enfrente a ataques adversarios generados por modelos alternativos», agregó Mustapha. «Además, debemos explorar la implementación de algoritmos de aprendizaje en línea, que permiten que el IDS actualice continuamente su modelo en tiempo real a medida que analiza nuevos datos. Al integrar una función de actualización incremental, el IDS podría conservar su eficacia en la detección de ataques en evolución. técnicas».

© 2023 Ciencia X Red