Detectarea anomaliilor
Furnizorii de telecomunicații observă traficul pe internet și îl analizează pentru a studia activitățile rău intenționate. Din acest motiv, se colectează o cantitate mare de date și se corelează milioane de solicitări globale DNS, tranzacții HTTP și informații despre pachetul complet. Operatorii de rețea analizează datele, de obicei, bazându-se pe instrumente de detectare bazate pe tehnici de detectare a anomaliilor. Aceste instrumente se bazează pe un model de referință al comportamentului normal de trafic și calculează abaterea de la acesta. Cu toate acestea, pentru a face față creșterii globale a Internetului și a obține rezultate într-un timp rezonabil, traficul de internet este de obicei eșantionat, chiar dacă eșantionarea este în mod inerent dăunătoare pentru detectarea anomaliilor.
Instrumentele Big Data promit să îmbunătățească analiza acestor seturi mari de date, oferind analize rapide și precise. Recent, comunitatea de cercetare a depus mult efort în dezvoltarea unor instrumente eficiente folosind modelul MapReduce. De exemplu, proiectul NECOMA (161), finanțat de UE, investighează beneficiile MapReduce pentru a realiza detectarea în timp real a anomaliilor cu trafic neeșantionat. Scopul proiectului este de a oferi instrumente scalabile și tolerante la erori care implementează caracteristici pentru detectarea anomaliilor. Proiectul propune un cadru bazat pe MapReduce care constă din doi pași (162): în primul rând, traficul este divizat folosind o funcție hash și păstrând atât structurile spațiale, cât și temporale ale traficului; în al doilea rând, detectorii identifică anomalii în fiecare împărțire a datelor.
Blocarea serviciului
Un caz special de detectare a anomaliilor este descoperirea atacurilor Distributed Denial of Service (DDoS). De exemplu, instrumentele de detectare a anomaliilor pot identifica atacurile DDoS prin observarea numeroaselor solicitări trimise aceluiași serviciu. Cu toate acestea, performanța și acuratețea detectării pot fi foarte scăzute de disponibilitatea doar a unui set eșantionat de solicitări (161). Și aici utilizarea instrumentelor Big Data poate ajuta: sunt raportate diverse modele de cadre bazate pe MapReduce (161) și algoritm de detecție pentru atacurile majore de flooding (163) (TCP-SYN, HTTP GET, UDP și ICMP).
Note
- (161) A se vedea proiectul NECOMA (Nippon-European Cyberdefense-Oriented Multilayer threat Analysis) http://www.necoma-project.eu. NECOMA este finanțat de European Union Seventh Framework Programme și de Strategic International Collaborative R&D Promotion Project al Ministerului Afacerilor Interne și Comunicațiilor, Japonia.
- (162) Romain Fontugne, Johan Mazel, Kensuke Fukuda, “Hashdoop: A MapReduce Framework for Network Anomaly Detection” în 2014 IEEE INFOCOM Workshops: 2014 IEEE INFOCOM Workshop on Security and Privacy in Big Data
- (163) Sufian Hameed, Usman Ali, On the Efficacy of Live DDoS Detection with Hadoop, National University of Computer and Emerging Sciences (NUCES).
Sursa: European Union Agency For Network And Information Security: Ernesto Damiani, Claudio Agostino Ardagna, Francesco Zavatarelli, Evangelos Rekleitis, Louis Marinos (2016). Big Data Threat Landscape and Good Practice Guide. © European Union Agency for Network and Information Security (ENISA). Traducere și adaptare independentă: Nicolae Sfetcu
© MultiMedia Publishing, Big Data – Ghid practic, Volumul 1
Tehnologia Blockchain – Bitcoin
Transformă-ți perspectiva asupra tehnologiei blockchain și începe să descoperi oportunitățile digitale de mâine!
Introducere în Business Intelligence
O resursă esențială pentru toți cei interesați de analiza datelor și de optimizarea proceselor de afaceri.
Rețele de comunicații 5G
Descoperă cum 5G transformă lumea și pregătește-te să fii parte din viitor.
Lasă un răspuns