Tijdens een cyberaanval beveiligingsanalisten richten zich op het beantwoorden van vier belangrijke vragen:wat is er met het netwerk gebeurd, wat was de impact, waarom gebeurde het, en wat moet er gebeuren? En terwijl analisten in hun reactie gebruikmaken van verbeteringen in software- en hardwaretools, de tools kunnen deze vragen niet zo goed beantwoorden als mensen.

Nutsvoorzieningen, onderzoekers van Penn State en het onderzoeksbureau van het Amerikaanse leger hebben een techniek ontwikkeld die de prestaties van beveiligingsanalisten aanzienlijk kan verbeteren. hun gereedschap, een eindige-toestandsmachine - een rekenmodel dat kan worden gebruikt om sequentiële logica te simuleren - werd geconstrueerd om automatische gegevenstriage uit te voeren van repetitieve taken die analisten regelmatig uitvoeren.

"Aanzienlijke hoeveelheden analysewerk worden herhaaldelijk gedaan door menselijke analisten, " zei Peng Liu, Raymond G.Tronzo, M.D. Professor of Cybersecurity in Penn State's College of Information Sciences and Technology en onderzoeker van het project. "Als een intelligente agent kan helpen het herhaalde werk te doen, dan kunnen de analisten meer tijd besteden aan het aanpakken van voorheen ongeziene cyberaanvalsituaties."

"Cyberverdediging is altijd een uitdaging vanwege het feit dat tegenstanders altijd hun best doen om hun daden te verbergen tussen een enorme hoeveelheid normale activiteiten. " voegde Cliff Wang toe, afdelingshoofd, Informatica, Legeronderzoeksbureau, een onderdeel van Combat Capabilities Development Command's Army Research Laboratory. "Omdat cyberbeveiliging steeds belangrijker wordt voor legeroperaties, het vermogen om obscuur en abnormaal gedrag te detecteren en te analyseren is essentieel, vooral tijdens de vroege verkenningsfase."

Volgens Liu en zijn medewerkers, een tijdrovende fase in cyberanalyse is datatriage, waarbij een analist de details van verschillende gegevensbronnen onderzoekt, zoals waarschuwingen voor inbraaksystemen en firewalllogboeken, het verwijderen van valse positieven, en vervolgens de gerelateerde indicatoren te groeperen zodat verschillende aanvalscampagnes van elkaar kunnen worden gescheiden. Hun onderzoek heeft tot doel de werkdruk van de analisten te verminderen door dit proces te automatiseren.

In hun studie hebben de onderzoekers traceerden 394 datatriage-operaties van 29 professionele beveiligingsanalisten. Vervolgens, ze gebruikten de eindige-toestandsmachines om aanvalspadpatronen te herkennen in meer dan 23 miljoen firewall-logitems en meer dan 35, 000 inbraakwaarschuwingen verzameld uit een 48-uurs monitoring van een netwerk met 5, 000 gastheren.

"Het identificeren van aanvalspaden in meerdere heterogene gegevensbronnen is een repetitieve taak voor beveiligingsanalisten als hetzelfde type aanvalspad eerder is geanalyseerd, en dergelijke repetitieve taken zijn vaak erg tijdrovend, "zei Liu. "Bovendien, uit onze interviews met beveiligingsanalisten bleek dat ze aanzienlijk kunnen worden getroffen door vermoeidheid veroorzaakt door het analyseren van een groot aantal beveiligingsgerelateerde gebeurtenissen, en angst veroorzaakt door tijdsdruk."

De techniek combineert niet-intrusieve tracering van menselijke gegevenstriage-operaties, formele beperkingsgrafieken, en datamining van operatiesporen, en maakt gebruik van principes in zowel informatica als cognitieve wetenschappen. De eindige-toestandsmachines zijn "gedolven" buiten werkingssporen.

"Penn State-onderzoekers hebben leiding gegeven aan onderzoeksinspanningen bij het toepassen van statistische methoden, kunstmatige intelligentie en machine learning om moeilijk te vinden, inbraakactiviteiten op laag niveau, en de staat vooruit geholpen op dit gebied, " zei Wang.

Het onderzoek, "Leren van de ervaring van experts:op weg naar geautomatiseerde gegevenstriage voor cyberbeveiliging, " werd gefinancierd door het U.S. Army Research Office en gepubliceerd in de uitgave van maart 2019 van: IEEE Systems Journal .