Hærens forskere identificerer nye måder at forbedre cybersikkerhed på

Med cybersikkerhed en af ​​landets største sikkerhedsproblemer og milliarder af mennesker blev ramt af brud sidste år, regering og virksomheder bruger mere tid og penge på at forsvare sig imod det. Forskere ved U.S. Army Combat Capabilities Development Command's Army Research Laboratory, Hærens virksomhedsforskningslaboratorium også kendt som ARL, og Towson University kan have identificeret en ny måde at forbedre netværkssikkerheden på.

Mange cybersikkerhedssystemer bruger distribueret netværksindtrængningsdetektion, der gør det muligt for et lille antal højtuddannede analytikere at overvåge flere netværk på samme tid, reduktion af omkostninger gennem stordriftsfordele og mere effektiv udnyttelse af begrænset cybersikkerhedsekspertise; imidlertid, denne tilgang kræver, at data overføres fra netværksindtrængningsdetektionssensorer på det forsvarede netværk til centrale analyseservere. At transmittere alle de data, der fanges af sensorer, kræver for meget båndbredde, sagde forskere.

På grund af dette, de fleste distribuerede netværksindtrængendetekteringssystemer sender kun advarsler eller opsummeringer af aktiviteter tilbage til sikkerhedsanalytikeren. Med kun opsummeringer, cyberangreb kan forblive uopdaget, fordi analytikeren ikke havde nok information til at forstå netværksaktiviteten, eller, alternativt, tid kan spildes på at jagte falske positiver.

I forskning præsenteret på den 10. internationale multikonference om kompleksitet, Informatik og kybernetik 12.-15. marts, 2019, videnskabsmænd ønskede at identificere, hvordan man komprimerer netværkstrafikken så meget som muligt uden at miste evnen til at opdage og undersøge ondsindet aktivitet.

Arbejder på teorien om, at ondsindet netværksaktivitet ville vise sin ondsindethed tidligt, forskerne udviklede et værktøj, der ville stoppe med at transmittere trafik, efter at et givet antal beskeder var blevet transmitteret. Den resulterende komprimerede netværkstrafik blev analyseret og sammenlignet med analysen udført på den oprindelige netværkstrafik.

Som mistænkt, forskere fandt ud af, at cyberangreb ofte viser ondsindethed tidligt i transmissionsprocessen. Da holdet identificerede ondsindet aktivitet senere i transmissionsprocessen, det var normalt ikke den første forekomst af ondsindet aktivitet i det netværksflow.

"Denne strategi burde være effektiv til at reducere mængden af ​​netværkstrafik, der sendes fra sensoren til det centrale analytikersystem, " sagde Sidney Smith, en ARL-forsker og undersøgelsens hovedforfatter. "Ultimativt, denne strategi kunne bruges til at øge pålideligheden og sikkerheden af ​​hærens netværk."

Til næste fase, forskere ønsker at integrere denne teknik med netværksklassificering og tabsfri komprimeringsteknikker for at reducere mængden af ​​trafik, der skal transmitteres til de centrale analysesystemer til mindre end 10 % af den oprindelige trafikmængde, mens de ikke mister mere end 1 % af cybersikkerhedsalarmer .

"Fremtiden for intrusion detection ligger inden for maskinlæring og andre kunstige intelligensteknikker, " sagde Smith. "Men, mange af disse teknikker er for ressourcekrævende til at køre på fjernsensorerne, og alle kræver store mængder data. Et cybersikkerhedssystem, der inkorporerer vores forskningsteknik, vil gøre det muligt at indsamle de data, der højst sandsynligt er skadelige, til yderligere analyse."