Kun je een DDoS aanval voorspellen?

Thema:
cyber weerbaarheid
23 februari 2021

Bij het voorspellen van tsunami’s liggen boeien met sensoren in de oceaan, loerend op afwijkend gedrag van de golven. De satelliet waarmee de sensoren in verbinding staan stuurt het signaal naar het weerstation, waarna er een waarschuwing uitgaat. Iedereen kan zich tijdig voorbereiden op wat er komen gaat. Kan een soortgelijke voorspelling ook gedaan worden voor DDoS aanvallen? De projectgroep van het Partnership for Cyber Security Innovation (PCSI) ging op onderzoek uit.

Anticiperen in plaats van reageren

Bij een DDoS aanval wordt er dusdanig veel verkeer naar computers of computernetwerken verstuurd, waardoor ze overbelast raken en bijvoorbeeld een website niet meer toegankelijk is voor normale bezoekers. Op deze manier kunnen hele IT infrastructuren platgelegd worden. “Als we een dergelijke aanval kunnen voorspellen, dan kunnen we daar veel eerder op anticiperen en zo een aanval echt voorkomen in plaats van er achteraf pas op te reageren, als het kwaad al is geschied”, vertelt Erik Meeuwissen, projectleider binnen het PCSI en senior consultant bij TNO.

ddos-attack-prediction-1200x675

Huidige DDoS oplossingen

De beschikbare oplossingen in de markt richten zich voornamelijk op het herkennen en filteren van DDoS verkeer alvorens een blokkade wordt opgezet. Dit kan binnen een paar minuten al worden gedaan. Toch blijft het een reactief systeem waardoor je altijd een stap te laat bent en, al is het maar heel even, het netwerk offline kan gaan.

Rob Schrama, Security Analist bij de Volksbank vult aan: “Een ander nadeel van deze bestaande diensten is dat niet alle DDoS aanvallen hiermee tegengehouden kunnen worden. Wij willen met ons onderzoek kijken of we een extra beschermlaag kunnen toevoegen aan deze bestaande oplossingen om ook de aanvallen die er doorheen glippen, te kunnen weren. Daarbij focussen we op de probes die, voordat een aanval daadwerkelijk plaatsvindt, al worden verzonden naar het betreffende netwerkdoelwit om te zoeken naar mogelijke ingangspunten voor een aanval.”

Wetenschappelijke uitdaging

Het PCSI projectteam gaat in de komende Proof of Concept fase verder onderzoeken op welke manier de probes op de applicatielaag kunnen worden ontdekt én hoe deze zich onderscheiden van normaal verkeer. Een wetenschappelijk uitdagende klus, waarbij Meeuwissen en zijn team gebruik gaan maken van Artificial Intelligence.

“Er zijn vele mogelijkheden om aanvallen op de applicatielaag te doen. We moeten ze goed analyseren en vaststellen welke probes kwade bedoelingen hebben en welke niet, zodat de kwaadwillige aanvallen kunnen worden gedetecteerd. Dat is een voorwaarde voor het slagen van ons onderzoek. Hier gebruiken we onder andere AI technieken voor. Daarnaast hebben we in de PoC fase voldoende data, servers en de expertise van al onze PCSI partners nodig om het onderzoek gedegen te kunnen uitvoeren” geeft Schrama aan.

Innovatief

Op dit onderwerp zijn nog weinig publicaties beschikbaar. Dat maakt het project extra interessant binnen het PCSI. “Dit is een project waarin we echt innoveren, met vallen en opstaan. We weten nog niet waar we uiteindelijk op uitkomen en of we slagen in onze missie. Het kunnen detecteren van de niet-legitieme probes is een grote uitdaging. Als dat lukt, dan kunnen we in de toekomst kijken en DDoS aanvallen vroegtijdig opsporen. Net zoals de sensoren in de oceaan dat doen bij tsunami’s. Dat zou een geweldige stap zijn!” besluit Meeuwissen.

Samenwerkingsverband

Het PCSI levert een essentiële bijdrage aan een veilige en veerkrachtige digitale samenleving door innovatie op het gebied van cybersecurity.

Binnen het PCSI worden toepasbare, innovatieve cybersecurity oplossingen ontwikkeld waarmee belanghebbenden in de Nederlandse maatschappij zich kunnen wapenen tegen cyberaanvallen van morgen.

Door intensief samen te werken via een innovatief ecosysteem verbinden de PCSI partners op een unieke manier toegepast onderzoek, actuele data en problematieken uit de maatschappij op het gebied van cybersecurity met elkaar.

Deelnemende partners: ABN AMRO, Achmea, ING, de Volksbank en TNO.

Laat je verder inspireren

6 resultaten, getoond 1 t/m 5

Cybercrime bestrijden met universele cybertaal

Informatietype:
Nieuws
5 april 2022
CASE is een gegevensstandaard die de politie helpt om beter samen te werken bij het opsporen van cybercrime. TNO werkt aan het verder toepasbaar maken

Hoe brengen we de bestrijding van cybercriminaliteit naar een hoger niveau?

Informatietype:
Insight
25 maart 2021
Met technologie zoals de Dark Web Monitor, wereldwijde samenwerking in onderzoek naar het dark web en financial cybercrime, brengt TNO de bestrijding van cybercriminaliteit naar een hoger plan.

ABN AMRO gaat zelfhelende software TNO inzetten voor cyberbeveiliging

Informatietype:
Nieuws
19 maart 2021
ABN AMRO gaat als eerste organisatie de ‘self healing security’ software van TNO inzetten in de strijd tegen cyberaanvallen. Deze software is in staat om zich autonoom aan te passen aan factoren die computersystemen kunnen verstoren. Voor de ontwikkeling is een bijzondere parallel getrokken met de werking van het menselijk immuunsysteem die nog niet eerder is toegepast bij bedrijven.

PCSI: 'Menselijk handelen onderbelicht in cybersecurity'

Informatietype:
Insight
17 maart 2021
PCSI adviseert een Security Journey Expert aan te stellen die ook naar menselijk handelen en processen kijkt bij cybersecurity.

In 3 stappen naar een quantumproof toekomst

Informatietype:
Insight
5 november 2020
In drie overzichtelijke stappen helpt TNO organisaties om zich met cybersecurity oplossingen voor te bereiden op een quantum proof toekomst. Lees verder.