由于網(wǎng)絡(luò)安全是全國(guó)最重要的安全問(wèn)題之一,去年受到違規(guī)行為影響的數(shù)十億人,政府和企業(yè)正在花費(fèi)更多的時(shí)間和金錢(qián)來(lái)抵御它。美國(guó)陸軍作戰(zhàn)能力發(fā)展司令部陸軍研究實(shí)驗(yàn)室,陸軍企業(yè)研究實(shí)驗(yàn)室(也稱(chēng)為ARL)和陶森大學(xué)的研究人員可能已經(jīng)確定了一種改善網(wǎng)絡(luò)安全的新方法。
許多網(wǎng)絡(luò)安全系統(tǒng)使用分布式網(wǎng)絡(luò)入侵檢測(cè),允許少數(shù)訓(xùn)練有素的分析師同時(shí)監(jiān)控多個(gè)網(wǎng)絡(luò),通過(guò)規(guī)模經(jīng)濟(jì)降低成本,并更有效地利用有限的網(wǎng)絡(luò)安全專(zhuān)業(yè)知識(shí); 然而,這種方法要求數(shù)據(jù)從防御網(wǎng)絡(luò)上的網(wǎng)絡(luò)入侵檢測(cè)傳感器傳輸?shù)街醒敕治龇?wù)器。研究人員說(shuō),傳輸傳感器捕獲的所有數(shù)據(jù)需要太多的帶寬。
因此,大多數(shù)分布式網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)僅將警報(bào)或活動(dòng)摘要發(fā)送回安全分析員。由于只有摘要,網(wǎng)絡(luò)攻擊可能無(wú)法檢測(cè)到,因?yàn)榉治鰩煕](méi)有足夠的信息來(lái)理解網(wǎng)絡(luò)活動(dòng),或者可能浪費(fèi)時(shí)間來(lái)追逐誤報(bào)。
在2010年3月12日至15日舉行的第10屆國(guó)際復(fù)雜性,信息學(xué)和控制論多國(guó)會(huì)議上發(fā)表的研究中,科學(xué)家們想要確定如何盡可能地壓縮網(wǎng)絡(luò)流量,同時(shí)又不失去檢測(cè)和調(diào)查惡意活動(dòng)的能力。
根據(jù)惡意網(wǎng)絡(luò)活動(dòng)早期表現(xiàn)出惡意的理論,研究人員開(kāi)發(fā)了一種工具,可以在傳輸給定數(shù)量的消息后停止傳輸流量。分析得到的壓縮網(wǎng)絡(luò)流量,并與在原始網(wǎng)絡(luò)流量上執(zhí)行的分析進(jìn)行比較。
據(jù)猜測(cè),研究人員發(fā)現(xiàn)網(wǎng)絡(luò)攻擊通常會(huì)在傳輸過(guò)程中早期表現(xiàn)出惡意。當(dāng)團(tuán)隊(duì)在傳輸過(guò)程中稍后發(fā)現(xiàn)惡意活動(dòng)時(shí),通常不是該網(wǎng)絡(luò)流中第一次發(fā)生惡意活動(dòng)。
“這種策略應(yīng)該能夠有效地減少?gòu)膫鞲衅靼l(fā)送到中央分析系統(tǒng)的網(wǎng)絡(luò)流量,”ARL研究員兼該研究的主要作者Sidney Smith說(shuō)。“最終,這一戰(zhàn)略可用于提高陸軍網(wǎng)絡(luò)的可靠性和安全性。”
對(duì)于下一階段,研究人員希望將此技術(shù)與網(wǎng)絡(luò)分類(lèi)和無(wú)損壓縮技術(shù)相結(jié)合,以將需要傳輸?shù)街醒敕治鱿到y(tǒng)的流量減少到原始流量的10%以下,同時(shí)損失不超過(guò)1網(wǎng)絡(luò)安全警報(bào)的百分比。
“入侵檢測(cè)的未來(lái)是機(jī)器學(xué)習(xí)和其他人工智能技術(shù),”史密斯說(shuō)。“然而,這些技術(shù)中的許多技術(shù)資源太密集而無(wú)法在遠(yuǎn)程傳感器上運(yùn)行,而且所有這些技術(shù)都需要大量數(shù)據(jù)。結(jié)合我們研究技術(shù)的網(wǎng)絡(luò)安全系統(tǒng)將允許收集最可能是惡意的數(shù)據(jù)以供進(jìn)一步分析“。