A kibervédelem a modern kor egyik legfontosabb problémaköre, ami emberek milliárdjait érint, de emellett kormányok és vállalkozások is egyre több pénzt és időt fektetnek bele. Az amerikai hadsereg egyik kutatólaboratóriuma (U.S. Army Combat Capabilities Development Command’s Army Research Laboratory – röviden ARL) és a Towson egyetem együtt kidolgoztak egy új módszert a hálózati biztonság fejlesztésére.
Több kiberbiztonságért felelős rendszer megosztott hálózati behatolás-érzékelést használ, ami segítségével kevés, de magasan képzett elemző felügyel több hálózatot egyszerre, amitől olcsóbb és hatékonyabb lehet a folyamat, de így szükséges az információt a behatolás-érzékelőtől a központi elemzőhöz továbbítani. Ez pedig a kutatók szerint túl nagy sávszélességet használ.
Emiatt a legtöbb megosztott hálózati behatolás-érzékelés csak riasztásokat vagy tevékenység-összegzéseket küld a biztonsági elemzőnek. Kizárólag összegzők továbbításával viszont néhány kibertámadás észrevétlen maradhat, mivel az elemző nem kap megfelelő mennyiségű információt, hogy megértse a hálózati tevékenységet, vagy épp ellenkezőleg, időpazarlás lehet téves riasztásokat hajszolni.
A március 12-15 között rendezett „10. Nemzetközi Konferencia a Komplexitásról, az Informatikáról és a Kibernetikáról” keretein belül tartott bemutató alatt a kutatók megpróbálták azonosítani, hogy hogyan lehetne a lehető legkisebbre csökkenteni a hálózati forgalmat anélkül, hogy csorbulna a kártékony tevékenységek észlelése.
Azon elméletből kiindulva, hogy a kártékony hálózati tevékenység korán kibontakozik, kutatók kifejlesztettek egy eszközt, ami hamar megszakítja a forgalmat egy bizonyos számú továbbított üzenet után. Az ilyen módon csökkentett méretű információt kielemezték, és összehasonlították az eredeti, teljes hálózati forgalmon tett elemzéssel.
A sejtéseket igazolva a kutatók azt tapasztalták, hogy a kibertámadások valóban a továbbítás korai szakaszaiban megkezdik a kártékony tevékenységet. Mikor a csapat a továbbítás későbbi szakaszaiban azonosítja a kártékony tevékenységet, az általában már nem az első kísérlet.
– Ez a stratégia hatékonyan csökkenteni fogja az érzékelők és a központi elemző közti hálózati adatforgalmat – állítja Sidney Smith, az ARL egyik kutatója és a tanulmány vezetője. – Végeredményben ez a stratégia növelni fogja a hadsereg hálózatainak megbízhatóságát és biztonságát.
A következő fázisokban a kutatók ezt a technológiát hálózati osztályozással és veszteségmentes tömörítési technikákkal akarják párosítani, hogy az ellenőrizendő forgalom mérete az eredeti forgalom méretének kevesebb, mint 10%-a legyen, míg a biztonsági riasztások nem több, mint 1%-a vesszen el.
– A behatolás érzékelés jövője a gépi tanulás és az egyéb mesterséges intelligenciára alapuló technológiák – állítja Smith. – Bár a legtöbb ilyen technológia túl erőforrás-igényes, hogy távoli érzékelőkön fusson, és nagy mennyiségű adat továbbítása szükséges hozzájuk. Azok a kibervédelmi rendszerek, amik az általunk fejlesztett technológiát alkalmazzák továbbítják a kártékony forgalom adatait, hogy tovább elemezzük.