Adatelemzés és hanghullám technológia az OpenDNS új biztonsági megoldásaiban

A Cisco által 2015 augusztusában felvásárolt OpenDNS bejelentette legújabb biztonsági fejlesztéseit. Az egyik legérdekesebb újdonság, hogy az OpenDNS Security Labs a hangfeldolgozásnál használt technológiákat alkalmazza a hálózati forgalom elemzésére. A szakértők blogbejegyzésben részletezték a fejlesztések technikai hátterét, és két új észlelési megoldást is bemutattak, amelyek a hálózati forgalom mintáinak elemzésével képesek előre jelezni a fenyegetéseket.

A fejlesztők által bemutatott egyik modell a  hálózati biztonság területén alkalmazható Spike Rank (SPRank), amely működésében a hangradarokhoz (szonár) hasonlít. Az OpenDNS szakemberei felfedezték, hogy a rosszindulatú támadások során tapasztalt hálózati forgalom mintáiban bekövetkező változások nagyon hasonlítanak azokra a hanghullámokra, amelyeket a Pandora vagy a Shazam használ a zenefelismerési képességének javításához. Az OpenDNS szakemberei is hasonló elemzési technológiát alkalmaznak a hálózati forgalom esetében. Az automatizált hanghullám-elemzés módszeréhez hasonlóan az SPRank gyorsan felismeri az OpenDNS által óránként feldolgozott több mint fél terabájt mennyiségű hálózati forgalmi adatban előforduló rosszindulatú viselkedésmintákat. A fejlesztők szerint ez a megoldás nagy pontossággal azonosítja a támadási mintákat, amely óránként több száz feltört webcímet jelent – ennek több mint harmadát más antivírus vagy kártevő szkenner program nem ismeri fel.

A másik modell egy Predictive IP Space Monitoring megoldás, amely előrejelzi a támadásokat, mielőtt azok megtörténnének.  Az SPRank által azonosított fertőzött weboldalakat kiindulási pontként használva, a megoldás nyolc fő mintát elemez a kiberbűnözők által használt technológiai infrastruktúrában (például hogyan hosztolják az általuk telepített szervereket), hogy megállapíthassák, melyik domain lesz várhatóan rosszindulatú tevékenység forrása. Az egyedi és megváltoztathatatlan karakterisztikára összpontosítva a modell figyelmen kívül hagyja a bűnözők által használt egyéni megkerülési technikákat, és csak a rosszindulatú tevékenységet előrejelző teljes mintát azonosítja. A megoldás több mint 300 új webcímet azonosít óránként, amelyek a jövőben rosszindulatú tevékenység alapjai lehetnek, és még az előtt blokkolja domain neveket, mielőtt egy esetleges támadáshoz használnák fel ezeket.

További információ az OpenDNS blogposztjában olvasható.