Новый способ улучшить кибербезопасность

Ввиду того, что кибербезопасность стала одной из главных проблем безопасности в странах, и миллиарды людей пострадали от взломов в прошлом году, правительство и бизнес тратят больше времени и денег на киберзащиту. Исследователи из Лаборатории командования по развитию боевых возможностей США, Корпоративной исследовательской лаборатории армии, также известной как ARL, и университета Тоусона, возможно, нашли новый способ повышения безопасности сети.

Многие системы кибербезопасности выполняют обнаружение вторжений в распределенные сети, что позволяет небольшому количеству высококвалифицированных аналитиков одновременно контролировать несколько сетей, снижая затраты за счет масштаба и более эффективно используя ограниченные знания в области кибербезопасности. Однако этот подход требует передачи данных от датчиков обнаружения вторжения в защищаемую сеть на центральные анализаторы. По словам исследователей, передача всей информации, полученной от датчиков, требует слишком большой полосы пропускания.

Из-за этого большинство систем обнаружения вторжений в распределенных сетях отправляют аналитикам по безопасности только предупреждения или сводки действий. При наличии только сводных данных кибератаки могут остаться незамеченными, поскольку у аналитика не всегда бывает достаточно информации, чтобы понять сетевую активность, или альтернативно, время может быть потрачено впустую в погоне за ложными срабатываниями.

В исследовании, представленном на 10-й Международной мультиконференции по сложности, информатике и кибернетике, ученые хотели определить, как максимально сжать сетевой трафик, не теряя возможности обнаруживать и расследовать вредоносную активность.

Работая над теорией о том, что злонамеренная сетевая активность рано себя проявит, исследователи разработали инструмент, который прекращает передачу трафика после передачи определенного количества сообщений. Полученный сжатый сетевой трафик был проанализирован и сравнен с анализом, выполненным для исходного сетевого трафика.

Как и предполагалось, исследователи обнаружили, что кибератаки часто проявляют вредоносность на ранних стадиях процесса передачи. Когда группа обнаруживала вредоносную активность на более позднем этапе процесса передачи, она обычно была не первым проявлением вредоносной активности в этом сетевом потоке.

«Эта стратегия должна быть эффективной в снижении объема сетевого трафика, передаваемого от датчика в центральную аналитическую систему, - сказал Сидни Смит (Sidney Smith), исследователь из ARL и ведущий автор работы. - В конечном итоге, эта стратегия может быть использована для повышения надежности и безопасности армейских сетей».

На следующем этапе исследователи хотят интегрировать этот метод с классификацией сетей и методами сжатия без потерь, чтобы уменьшить объем трафика, который должен передаваться в центральные аналитические системы, до уровня менее 10% от исходного объема трафика, при этом теряя не более 1% предупреждений о кибербезопасности.

«Будущее обнаружения вторжений - в машинном обучении и других методах ИИ, - сказал Смит. - Однако многие из этих методов слишком ресурсоемки, чтобы их можно было использовать на удаленных датчиках, и все они требуют больших объемов данных. Система кибербезопасности, включающая нашу методику исследования, позволит собирать данные, которые, скорее всего, являются вредоносными, для дальнейшего анализа».