OpenDNS, firma przejęta przez Cisco w sierpniu 2015r., będąca wiodącym dostawcą systemów bezpieczeństwa działających w chmurze, zaprezentowała nową technologię analizy ruchu w sieci. Badacze z OpenDNS ujawnili szczegóły badań, które doprowadziły do opracowania dwóch nowych modeli detekcji zagrożeń, pozwalających na przewidywanie propagacji złośliwego kodu, na podstawie analizy wykorzystującej wzorce typowego ruchu w sieci.

Pierwszy model to SPRank (Spike Rank), który w systemie zabezpieczania sieci działa podobnie jak sonar służący do detekcji specyficznych dźwięków — umożliwia wyizolowanie z tła sygnałów świadczących o wrogim ataku.

Analizując zmiany we wzorcach ruchu sieciowego wywoływane przez inicjację ataków, naukowcy z OpenDNS odkryli, że są one bardzo podobne do wzorców, którymi zajmują się takie firmy jak Pandora i Shazam w badaniach odtwarzania dźwięku mających na celu ulepszenie systemów odsłuchu muzyki. Wówczas postanowili do analizy ruchu sieciowego zastosować techniki podobne do wykorzystywanych przez systemy internetowych stacji radiowych lub aplikacje do wyszukiwania muzyki w internecie.

W ten sposób powstał SPRank – mechanizm automatycznej analizy „dźwięków sieci”, który jest w stanie szybko wykrywać wzorce szkodliwego ruchu efektywnie analizując ponad pół terabajta danych, czyli tyle ile jest przetwarzane przez OpenDNS na godzinę.

Ten model analizy okazał się wyjątkowo dokładny i skuteczny w wykrywaniu cyberataków. W każdej godzinie identyfikuje kilkaset nowych zarażonych przez szkodliwe oprogramowanie domen, z których ponad jedna trzecia nie została wcześniej wykryta przez żaden ze znanych skanerów antywirusowych lub innych systemów zabezpieczania sieci.

Modele opisujące fale dźwiękowe to rozwinięta i bogata gałąź matematyki” mówi Thomas Mathew, jeden z naukowców pracujących w OpenDNS. „Z naszych analiz wynika, że domeny takie jak Google i Yahoo! generują bardzo podobne wzorce „fal dźwiękowych”, bo związany z nimi ruch sieciowy jest regularny. Natomiast domeny wykorzystywane podczas ataków wykazują wysoką aktywność tylko przez względnie krótki czas – związane z nimi wzorce ruchu mają formę krótkich i szybkich pików transmisji. Kontynuując porównanie do teorii dźwięku, generowany przez nie ruch wygląda jak zakłócenia zniekształcające muzykę – mają charakter krótkich, wysokich dźwięków, świergotania. Wyobraźmy sobie dźwięki, które pojawiają się przez sekundę, a później znikają. SPRank potrafi wykryć takie wzorce ruchu w sieci i bardzo szybko je zidentyfikować”.

Drugi model to Predictive IP Space Monitoring, który umożliwia wykrycie ataków zanim zostaną uruchomione. Wykorzystuje on informacje o zainfekowanych domenach dostarczone przez SPRank jako punkt wyjścia do dalszej analizy opartej na ośmiu głównych wzorcach zachowań cyberprzestępców, budujących infrastrukturę wykorzystywaną później do szkodliwej aktywności. Wzorce te dotyczą na przykład sposobu w jaki pojawiają się w sieci i hostują złośliwą zawartość serwery służące do wrogich działań. Analiza tych informacji pozwala na określenie, które zainfekowane domeny będą w przyszłości źródłem nowych ataków.

Dzięki skoncentrowaniu się na niezmiennych parametrach charakterystyki ruchu w sieci, modele te nie są zależne od szczegółowych, zmieniających się mechanizmów i technik wykorzystywanych przez cyberprzestępców przygotowujących infrastrukturę wykorzystywaną do szkodliwej działalności.

Jak wynika z przeprowadzonych testów, nowa technologia pozwala na efektywne identyfikowanie w ciągu każdej godziny ponad 300 nowych domen, które potencjalnie mogą być w przyszłości źródłem wrogiej aktywności… i zablokowanie ich zanim jeszcze zostaną użyte.

źródło: Cisco

Kan