Un nouvel outil basé sur l’IA pour détecter les attaques DDoS

Les cybercriminels proposent des moyens de plus en plus astucieux de perturber les services en ligne, d’accéder à des données sensibles ou de planter les appareils des internautes. Une cyberattaque qui est devenue très courante au cours des dernières décennies est l’attaque dite de déni de service distribué (DDoS).

Ce type d’attaque implique une série d’appareils connectés à Internet, qui sont collectivement appelés “botnet”. Ce “groupe” d’appareils connectés est ensuite utilisé pour inonder un serveur cible ou un site Web avec un “faux” trafic, perturbant son fonctionnement et le rendant inaccessible aux utilisateurs légitimes.

Pour protéger leur site Web ou leurs serveurs contre les attaques DDoS, les entreprises et autres utilisateurs utilisent couramment des pare-feu, des logiciels anti-malware ou des systèmes de détection d’intrusion conventionnels. Pourtant, la détection de ces attaques peut être très difficile aujourd’hui, car elles sont souvent menées à l’aide de réseaux antagonistes génératifs (GAN), des techniques d’apprentissage automatique qui peuvent apprendre à imiter de manière réaliste l’activité d’utilisateurs réels et les demandes d’utilisateurs légitimes.

En conséquence, de nombreux systèmes anti-malware existants échouent finalement à protéger les utilisateurs contre eux.

Des chercheurs de l’Institut Polytechnique de Paris, Télécom Paris (INFRES) ont récemment développé une nouvelle méthode de calcul qui pourrait détecter les attaques DDoS de manière plus efficace et plus fiable. Cette méthode, présentée dans un article publié dans Informatique et sécuritéest basé sur un modèle de mémoire longue à court terme (LSTM), un type de réseau neuronal récurrent (RNN) qui peut apprendre à détecter les dépendances à long terme dans les séquences d’événements.

“Notre document de recherche était basé sur le problème de la détection des attaques DDoS, un type de cyberattaques qui peuvent causer des dommages importants aux services en ligne et à la communication réseau”, a déclaré Ali Mustapha, l’un des chercheurs qui a mené l’étude, à Tech Xplore. “Alors que des études antérieures ont exploré l’utilisation d’algorithmes d’apprentissage en profondeur pour détecter les attaques DDoS, ces approches peuvent encore être vulnérables aux attaquants qui utilisent l’apprentissage automatique et des techniques d’apprentissage en profondeur pour créer un trafic d’attaque antagoniste capable de contourner les systèmes de détection.”

Dans le cadre de leur étude, Mustapha et ses collègues ont entrepris de concevoir une toute nouvelle approche basée sur l’apprentissage automatique qui pourrait améliorer la résilience des systèmes de détection DDoS. La méthode qu’ils ont proposée est basée sur deux modèles distincts qui peuvent être intégrés dans un seul système de détection d’intrusion.

“Le premier modèle est conçu pour déterminer si le trafic réseau entrant est contradictoire et le bloquer s’il est jugé frauduleux”, a expliqué Mustapha. “Sinon, il est ensuite transmis au deuxième modèle, qui est chargé d’identifier s’il s’agit d’une attaque DDoS. En fonction du résultat de cette analyse, un ensemble de règles correspondant et un système d’alerte sont utilisés.”

L’outil de détection DDoS proposé par cette équipe de chercheurs présente de nombreux avantages par rapport aux autres systèmes de détection d’intrusion développés par le passé. Plus particulièrement, il est robuste et peut détecter les attaques DDoS avec des niveaux élevés de précision, il est adaptable et peut également être adapté pour répondre aux besoins uniques d’entreprises ou d’utilisateurs spécifiques. De plus, il peut être facilement déployé par les fournisseurs de services Internet (FAI), tout en les protégeant contre les attaques DDoS standard et contradictoires.

“Notre étude a donné plusieurs résultats et réalisations remarquables”, a expliqué Mustapha. “Au départ, nous avons évalué des modèles hautes performances formés pour identifier les attaques DDoS standard, en les testant par rapport aux attaques DDoS adverses générées via les réseaux antagonistes génératifs (GAN). Nous avons observé que les modèles étaient relativement inefficaces pour détecter ces types d’attaques ; cependant, nous avons pu affiner notre approche et l’améliorer pour détecter ces attaques avec une précision supérieure à 91 %.”

Les premiers tests menés par Mustapha et ses collègues ont donné des résultats très prometteurs, car ils ont montré que leur système pouvait également détecter des attaques plus sophistiquées spécialement conçues pour tromper les algorithmes d’apprentissage automatique. Pour démontrer davantage le potentiel de leur outil, les chercheurs ont également mené une série de tests en temps réel. Ils ont constaté que le système répondait aux exigences de détection d’attaques DDoS en temps réel, en extrayant et en analysant les paquets réseau en un temps limité et sans entraîner de retards importants du trafic réseau.

La méthode prometteuse présentée dans cet article pourrait bientôt être intégrée dans les systèmes de sécurité existants et nouvellement développés. En outre, cela pourrait inspirer le développement de techniques d’apprentissage automatique similaires pour détecter les attaques DDoS.

“Alors que nous envisageons les travaux futurs, il sera essentiel d’évaluer l’efficacité de notre IDS lorsqu’il sera confronté à des attaques contradictoires générées par des modèles alternatifs”, a ajouté Mustapha. “De plus, nous devons explorer la mise en œuvre d’algorithmes d’apprentissage en ligne, qui permettent à l’IDS de mettre à jour en permanence son modèle en temps réel au fur et à mesure qu’il analyse de nouvelles données. En intégrant une fonctionnalité de mise à jour incrémentielle, l’IDS pourrait conserver son efficacité dans la détection d’attaques en évolution. technique.”

© 2023 Réseau Science X