Argonne anvender maskinlæring til cybersikkerhedstrusler

Det er uomtvisteligt, at teknologi nu er en grundlæggende og uløselig del af vores hverdag - for de fleste mennesker, vores beskæftigelse, transport, sundhedspleje, uddannelse, og andre livskvalitetsforanstaltninger er fuldstændig afhængige af teknologi. Vores afhængighed har skabt et presserende behov for dynamisk cybersikkerhed, der beskytter den amerikanske regering, forskning og industriens aktiver i lyset af teknologiske fremskridt og stadig mere sofistikerede modstandere.

Det amerikanske energiministerium (DOE) Argonne National Laboratory hjælper med at lede vejen inden for forskning og udvikling af proaktiv cybersikkerhed, herunder foranstaltninger, der udnytter maskinlæring, for at beskytte data og kritisk infrastruktur mod cyberangreb.

Maskinlæring er en kategori af kunstig intelligens, der involverer træningsmaskiner til løbende at lære af og identificere mønstre i datasæt.

"Anvendelse af maskinlæringsmetoder til cybersikkerhedsindsatser giver mening på grund af den store mængde data, der er involveret, "sagde Nate Evans, programleder for cybersikkerhedsforskning i Division Strategic Security Sciences (SSS). "Det er ikke effektivt for mennesker at udvinde data for disse mønstre ved hjælp af traditionelle algoritmer."

Argonne computerforskere udvikler maskinlæringsalgoritmer ved hjælp af store datasæt - omfattende logdata fra forskellige enheder, netværkstrafikinformation, og tilfælde af ondsindet adfærd - der gør det muligt for algoritmerne at genkende bestemte hændelsesmønstre, der fører til angreb. Når sådanne mønstre identificeres, et svarteam undersøger forekomster, der matcher disse mønstre.

Efter et angreb, svarsteamet lapper sårbarheden i laboratoriets indbrudsbeskyttelsessystemer. Retsmedicinsk analyse kan derefter føre til ændringer, der forhindrer lignende fremtidige angreb.

"Vi leder efter måder at stoppe angreb på, før de sker, "sagde Evans." Vi er ikke kun optaget af at beskytte vores eget laboratorium, vi udvikler også metoder til at beskytte andre nationale laboratorier, og landet som helhed, fra potentielle cyberangreb. "

Maskinlæringsmetoden gør det muligt for en computer at fungere som cyber -trusseljæger, minedrift af store datamængder, mens mennesker er fri til at fokusere på trusler med den største risiko.

Med enorme mængder data genereret ikke kun fra Argonne, men også af andre nationale laboratorier og andre steder i DOE, analyse kræver højhastigheds-supercomputere, såsom Theta ved Argonnes Leadership Computing Facility, en DOE Office of Science brugerfacilitet.

"Vi taler milliarder og milliarder af rekorder om dagen, "Evans sagde, "og computeren identificerer, hvor der kan være usædvanlig eller ondsindet trafik."

Forskere arbejder også på at teste deres maskinlæringsmetoder på data fra den private sektor, Sagde Evans. Sådanne fremtidige undersøgelser kan give viden, der kan overføres til bankindustrien og anden kritisk amerikansk infrastruktur, han sagde.

At lære computere vores sprog

Argonne -forskere bruger kunstig intelligens til at bekæmpe cybersikkerhedstrusler på mange fronter. Computerforsker Sandeep Madireddy fra Argonnes afdeling for matematik og datalogi (MCS) udfører forskning for at lette sikker brug af computerprogrammer - tekstbehandlere, regneark, Webbrowsere, og lignende. Maskinlæringsteknikker kan være et stærkt værktøj til bekæmpelse af cyberangreb, der udnytter sikkerhedsrisici i disse allestedsnærværende programmer.

Maskinindlæring håndterer strukturerede og ustrukturerede data. Strukturerede data er arrangeret i formelle mønstre, f.eks. Tabeller, der let kan føjes til en model. Ustrukturerede data har ofte form af tekst, en meget mere nuanceret og kompleks dataform.

"For ustrukturerede data, "sagde Madireddy, "vores forskere bygger algoritmer, der udtrækker oplysninger fra datalogger i tekstformat ved hjælp af tilgange som behandling af naturligt sprog, inspireret af metoder, der bruges i den kommercielle verden til at forstå tekst. "

Med behandling af naturligt sprog, bogstaversekvenser tjener som input til maskinindlæringsmodellen. Algoritmerne bygger derefter på stadigt forbedrede statistiske sprogmodeller for at udvikle associationer mellem termer og forudsige legitimiteten af ​​visse kommunikationer.

"Vi forsøger at minde ligheder mellem disse tekster, identificere meningsfulde gentagende mønstre, og klassificere dem som gode eller dårlige med hensyn til cybersikkerhed, "sagde Madireddy." Vi vil udtrække uregelmæssighederne. "

For eksempel, behandling af naturligt sprog kan hjælpe med at skelne mellem legitim og phishing -kommunikation, for at forhindre et sikkerhedsbrud via e -mail -applikationer.

Derudover Argonne -forskere udvikler metoder til at udvinde tidsseriedata - data indsamlet successivt, kendte tidsintervaller - for at give et andet middel til at opdage cyberangreb. Når et system angribes, der er ofte en pludselig adfærdsændring i tidsseriedata modtaget af systemet. Såkaldte ændringspunktsdetekteringsalgoritmer kan bruge historiske og aktuelle data til at lokalisere det nøjagtige tidspunkt, hvor en så drastisk ændring fandt sted.

"Dette giver os besked om en form for uregelmæssig adfærd, så vi kan se nærmere på, sagde Madireddy.

Vedligeholdelse af sikkerhed og funktionalitet

Ud over sine cybersikkerhedsforskningsprogrammer, Argonne er hjemsted for et Cybersecurity Program Office (CSPO), der anvender maskinlæring til at beskytte laboratoriets digitale information. For eksempel, computerforskere i CSPO udvikler maskinlæringsalgoritmer til at oprette en mere fleksibel adgangskodebeskyttelsesprotokol.

"Vi ønsker at forhindre falske positive med hensyn til trusselregistrering, så når nogen logger ind, vi styrer væk fra den stive protokol om at tillade tre forsøg, før de lukkes ud, "sagde vicechef for informationssikkerhed Matt Kwiatkowski." I stedet vi kan træne computere til at lære mønstre for, hvordan folk logger ind på vores netværk, f.eks. deres placering og det tidspunkt, hvor de logger på, at gøre protokollen mere fleksibel for medarbejdere, samtidig med at netværket er sikkert. "

Cybersecurity Program Office udvikler også maskinlæringsalgoritmer som en omkostningsbesparende foranstaltning. For eksempel, institutioner betaler typisk tredjepartstjenester for at kategorisere forskellige websteder som oplysende, statslige, eller sociale medier. Teamet forsøger at bruge maskinlæring til at genkende mønstre i webstedsfunktioner for at kategorisere dem på egen hånd.

Argonnes forskning i cybersikkerhed, sammen med organisationens stærke informationssikkerhedskultur, holde laboratoriet på forkant, Sagde Kwiatkowski.

"Vores medarbejdere erkender behovet for sikkerhed, og de tager det alvorligt, "sagde han." Hvis en sikkerhedsforanstaltning hindrer deres arbejde, vi forsøger at finde kreative måder at opretholde sikkerhed og funktionalitet. Det handler om at være lydhør over for vores folk, være tilpasningsdygtig og altid udforske nye måder at gøre ting på, da cybersikkerhedens verden fortsat udvikler sig hurtigt. "

Hvert DOE -laboratorium har en operationel cybersikkerhedsarm, der fokuserer på at beskytte sig selv mod cyberangreb. Nogle af de andre laboratorier fokuserer på at analysere aktuelle trusler, og hvor de kommer fra, mens andre fokuserer på at beskytte nationens strøminfrastruktur. Argonne er et af de nationale laboratorier, der også har en robust forskningsarm inden for cybersikkerhed.