Clear Sky Science
Spiegazioni basate sulle evidenze, con poco gergo

Clear Sky Science · it

Un approccio ibrido di machine learning per rilevare attacchi DDoS nelle reti definite via software

· Torna all'indice

Perché è importante fermare le ondate di traffico su Internet

Quando guardi un film in streaming, fai acquisti online o usi applicazioni cloud, i tuoi dati viaggiano attraverso reti che devono restare veloci e affidabili. Un modo recente e diffuso di gestire queste reti, chiamato software-defined networking (SDN), offre alle aziende maggiore controllo e flessibilità—ma apre anche la porta a potenti attacchi informatici noti come distributed denial-of-service (DDoS). Questi attacchi sommergono i sistemi con traffico inutile fino a escludere gli utenti legittimi. Questo studio mostra come una forma su misura di machine learning possa individuare precocemente e con precisione queste inondazioni di traffico, contribuendo a mantenere i servizi online disponibili quando ne abbiamo più bisogno.

Figure 1
Figura 1.

Un nuovo tipo di rete, con nuove vulnerabilità

Le reti tradizionali si basano su dispositivi come i router che sia decidono dove inviare i dati sia li inoltrano. L’SDN separa questi ruoli: un “cervello” centrale chiamato controller decide come deve fluire il traffico, mentre switch più semplici si limitano a eseguire le sue istruzioni. Questa separazione rende le reti più facili da gestire, meno costose da realizzare e più adattabili per usi intensivi come data center, piattaforme cloud, 5G e Internet of Things. Ma c’è un compromesso. Poiché molto potere è concentrato nel controller ed esposto tramite interfacce software aperte, gli aggressori possono concentrare lì i loro attacchi. Se riescono ad annegarlo in richieste fasulle, possono paralizzare l’intera rete in una sola volta.

Come gli aggressori trasformano funzionalità utili in armi

Gli attacchi DDoS arruolano eserciti di dispositivi compromessi—da computer domestici a telecamere non protette—per inviare ondate di traffico indesiderato verso un bersaglio. Nell’SDN, questo bersaglio è spesso il controller o gli switch che gli riferiscono. Ogni nuovo flusso di dati o flusso anomalo può costringere il controller a prendere una decisione e aggiornare le regole negli switch. Durante un’inondazione DDoS, il numero di flussi e di messaggi di controllo può salire alle stelle, intasando le risorse del controller e bloccando gli utenti normali. Gli strumenti di rilevamento precedenti spesso si basavano su dati non specifici per SDN o su soglie fisse, perciò faticavano con attacchi più recenti e furtivi e con i pattern dinamici del traffico moderno.

Costruire un quadro realistico di attacchi e normalità

Per colmare queste lacune, i ricercatori hanno costruito un ambiente di test SDN proprio invece di riutilizzare dataset legacy. Usando un controller SDN open source molto diffuso (Ryu) e uno switch virtuale, hanno creato una rete semplice ma attentamente controllata in cui poter generare sia traffico quotidiano sia diversi tipi di ondate DDoS (basate su TCP, UDP e ICMP). Il controller ha raccolto regolarmente statistiche dettagliate su ogni flusso di dati e su ogni porta dello switch, come la durata dei flussi, il numero di pacchetti e byte trasmessi, quanti flussi erano attivi e quanta larghezza di banda utilizzava ciascuna porta. Queste misurazioni sono state trasformate in 22 caratteristiche mirate, incluse nuove medie che catturano quanta informazione trasporta ciascun flusso. Ogni record di flusso è stato automaticamente etichettato come benigno o malevolo, ottenendo un dataset di dimensioni medie specifico per SDN di 99.225 esempi.

Un motore di apprendimento in squadra per individuare i problemi

Con questo dataset a disposizione, il team ha confrontato una serie di metodi di machine learning per classificare i flussi come traffico normale o di attacco. Hanno scoperto che modelli semplici come la regressione logistica o gli alberi decisionali di base perdevano molti dei pattern sottili nascosti nelle statistiche. Due metodi ensemble basati su alberi—Random Forest e XGBoost—sono emersi come i più efficaci, ciascuno in grado di gestire relazioni complesse in modi diversi. I ricercatori li hanno quindi combinati in un modello ibrido che permette a entrambi i metodi di votare sul risultato. Questo rilevatore combinato ha raggiunto un’accuratezza del 99,36%, con pochissimi falsi allarmi e quasi nessun attacco non rilevato. I test basati sulle curve ROC (receiver operating characteristic) hanno mostrato prestazioni prossime alla perfezione, indicando che il modello può distinguere il traffico di attacco da quello normale su un’ampia gamma di soglie.

Dall’allerta precoce alla difesa automatica

Oltre al rilevamento, gli autori descrivono come un modello del genere potrebbe essere integrato direttamente in un controller SDN. Man mano che il controller raccoglie statistiche in tempo reale, potrebbe inoltrarle al modello addestrato e, quando un flusso appare malevolo, pushare istantaneamente nuove regole agli switch per scartare, rallentare o bloccare quel traffico. Pur essendo questo studio condotto solo in un ambiente controllato a singolo switch con traffico sintetico, dimostra che caratteristiche specifiche per SDN scelte con cura, combinate con un approccio ibrido di apprendimento, possono individuare con affidabilità gli attacchi DDoS in tempo utile per reagire. Per i non specialisti, il messaggio chiave è che abbinare progetti di rete moderni a difese altrettanto moderne e basate sui dati può rendere i servizi online di cui dipendiamo più resilienti contro le inondazioni di traffico su larga scala.

Citazione: Mahar, I.A., Aziz, K., Chakrabarti, P. et al. A hybrid machine learning approach for detecting DDoS attacks in software-defined networks. Sci Rep 16, 6533 (2026). https://doi.org/10.1038/s41598-026-35458-w

Parole chiave: software-defined networking, attacchi DDoS, machine learning, sicurezza di rete, rilevamento del traffico