Guillem Alsina Gonzàlez
Predecir un ciberataque DDoS (de denegación de servicio distribuída, por sus siglas en inglés) es algo similar a predecir un terremoto o una erupción volcánica: existen algunas pautas pero, aún así, el conocimiento que los equipos de ciberdefensa tienen de ellos, les dan poco margen para prepararse.
Si bien en el ámbito de la predicción de cataclismos geológicos, algo hemos avanzado, en la de los ciberataques DDoS no tanto, por lo menos hasta ahora que unos investigadores de la Facultad de Ciencia Informática y Tecnologías de la Información de la Universiti Malaya de Kuala Lumpur, y de la Fakulti Teknologi Maklumat dan Komunikasi (FTMK) de la Universiti Teknikal Malaysia Melaka (UTeM), ambas de Malasia, han visto que se puede utilizar Machine Learning (aprendizaje automatizado) para predecir el comportamiento de ciberataques de este tipo.
El trabajo que han realizado, y que podemos leer en abierto, analiza la evolución de los ataques de denegación de servicio distribuida (DDoS) y plantea como se puede prevenir su comportamiento. Los autores se apoyan en el proceso CRISP-DM y en datos del servicio Digital Attack Map para estudiar patrones temporales y anticipar actividad futura con fines de mitigación.
El paper recuerda que, a diferencia de un DoS clásico, un DDoS parte de múltiples orígenes y complica la detección por IDS/IPS, de ahí el interés en técnicas predictivas que permitan preparar la respuesta con antelación.
La base de datos usada reúne 192.525 incidentes acaecidos entre el 1 de enero de 2015 y el 1 de mayo de 2021, con métricas sobre el número de ataques, duración y caudal máximo por evento. El conjunto se enriqueció con conversiones de tiempo y caudal (a Gbps) y se agregaron series por día, semana, mes y año para análisis estadístico y para alimentar el modelo.
El equipo se centró, sobretodo, en el periodo de la COVID-19, ya que supuso un crecimiento considerable de los DDoS, habida cuenta que la gran mayoría de las empresas trasladaron su actividad a Internet, dejando de lado la actividad presencial, convirtiendo a la red de redes en algo imprescindible que, si era interrumpida, dejaba a la empresa víctima del ataque de rodillas y más propensa a pagar.
El volumen acumulado de duración calculado asciende a 825.549.256 segundos (unos 628,27 años) debido a la superposición de ataques, con un caudal máximo observado de 1,46 Tbps y un incidente que se llego a prolongar hasta siete días.
En el plano estadístico, y según lo antes comentado sobre el periodo de la COVID, entre 2019 y 2020 se detectó un incremento del 63,65% en ataques de entre 15 y 30 minutos y del 74,13% entre una hora y un día, además de un incremento del 38,12% en caudales de entre 10 y 100 Gbps y del 59,59% en el rango de los 100 Gbps a 1 Tbps. Los eventos que superaron 1 Tbps pasaron de 277 a 538, un 94,22% más.
En la fase de predicción, que es lo verdaderamente interesante del trabajo, el modelo desarrollado (y llamado LSTM por Long Short Term Memory) capturó con razonable fidelidad la forma de las curvas para el número de ataques y el caudal máximo, aunque tendió a infraestimar la magnitud de los picos y mostró más dificultad con la duración. Los autores constatan que aumentar el tamaño de ventana y el número de neuronas de la red mejora lentamente el error, lo que sugiere margen de mejora.
El valor práctico de esta investigación reside en anticipar repuntes, incluso si la cifra exacta no coincide, para activar medidas de contención antes del máximo impacto.
Desde la perspectiva de la gestión, los investigadores subrayan que comprender las dinámicas por subclases como, por ejemplo, fases de agresividad cuando crecen a la vez recuento, duración y caudal, o ráfagas cortas y frecuentes en UDP Misuse, permite ajustar estrategias de defensa.
El trabajo también revisa enfoques de prevención y mitigación (desde mantenimiento de parches a modelos de predicción en tiempo real y mecanismos en entornos SDN) y señala retos vigentes: la escasez de conjuntos de datos recientes, el coste computacional y la traslación de modelos de laboratorio a producción.
La conclusión es que combinar análisis histórico con previsión a corto plazo ayuda a pasar de la reacción pasiva a la preparación proactiva.
