Kun je een DDoS aanval voorspellen?


Om tsunami’s te kunnen voorspellen liggen er boeien met sensoren in de oceaan, loerend op afwijkend gedrag van de golven. De satelliet waarmee de sensoren in verbinding staan stuurt het signaal naar het weerstation, waarna er een waarschuwing wordt gegeven. Iedereen kan zich tijdig voorbereiden op wat er komen gaat. Is een soortgelijke voorspelling ook mogelijk voor DDoS-aanvallen?

Anticiperen in plaats van reageren

Bij een DDoS aanval wordt er dusdanig veel verkeer naar computers of computernetwerken verstuurd dat ze overbelast raken en bijvoorbeeld een website niet meer toegankelijk is voor normale bezoekers. Op deze manier kunnen hele IT-infrastructuren platgelegd worden. "Als we een dergelijke aanval kunnen voorspellen, dan kunnen we daar veel eerder op anticiperen en zo een aanval echt voorkomen in plaats van er achteraf pas op te reageren, als het kwaad al is geschied", zegt Erik Meeuwissen, projectleider binnen het PCSI en senior consultant bij TNO. 

Huidige DDoS-oplossingen

De beschikbare oplossingen in de markt richten zich voornamelijk op het herkennen en filteren van DDoS-verkeer voordat er een blokkade wordt opgezet. Dit kan al binnen een paar minuten worden gedaan. Toch blijft het een reactief systeem waardoor je altijd een stap te laat bent en, al is het maar heel even, het netwerk offline kan gaan. Rob Schrama, Security Analyst bij de Volksbank, vult aan: "Een ander nadeel van deze bestaande diensten is dat hiermee niet alle DDoS-aanvallen tegengehouden kunnen worden. Wij willen met ons onderzoek kijken of we een extra beschermlaag kunnen toevoegen aan deze bestaande oplossingen om ook de aanvallen die er doorheen glippen, te kunnen weren. Daarbij focussen we op de probes die, voordat een aanval daadwerkelijk plaatsvindt, al worden verzonden naar het betreffende netwerkdoelwit om te zoeken naar mogelijke ingangspunten voor een aanval."

Wetenschappelijke uitdaging

De projectgroep van het PCSI gaat in de komende 'Proof of Concept' fase verder onderzoeken op welke manier de probes op de applicatielaag kunnen worden ontdekt én hoe deze zich onderscheiden van normaal verkeer. Een wetenschappelijk uitdagende klus, waarbij Meeuwissen en zijn team gebruik gaan maken van Artificial Intelligence. "Er zijn veel mogelijkheden om aanvallen op de applicatielaag uit te voeren. We moeten ze goed analyseren en vaststellen welke probes kwade bedoelingen hebben en welke niet, zodat de kwaadwillige aanvallen kunnen worden gedetecteerd. Dat is een voorwaarde voor het slagen van ons onderzoek. Hier gebruiken we onder andere AI-technieken voor. Daarnaast hebben we in de PoC-fase voldoende data, servers en de expertise van al onze PCSI-partners nodig om het onderzoek gedegen te kunnen uitvoeren," geeft Schrama aan.

Innovatief

Over dit onderwerp zijn nog weinig publicaties beschikbaar. Dat maakt het project extra interessant binnen het PCSI. "Dit is een project waarin we echt innoveren, met vallen en opstaan. We weten nog niet waar we uiteindelijk op uitkomen en of we slagen in onze missie. Het kunnen detecteren van de niet-legitieme probes is een grote uitdaging. Als dat lukt, dan kunnen we in de toekomst kijken en DDoS-aanvallen vroegtijdig opsporen. Net zoals de sensoren in de oceaan dat doen bij tsunami’s. Dat zou een geweldige stap zijn!" besluit Meeuwissen.

Deel deze pagina

Beeldmerk PCSI
PCSI is een samenwerking van
    ABN-AMRO Achmea ASML Belastingdienst ING TNO