Sendo a segurança cibernética uma das principais preocupações de segurança do país e bilhões de pessoas afetadas por violações no ano passado, o governo e as empresas estão gastando mais tempo e dinheiro na defesa contra ele. Pesquisadores do Laboratório de Pesquisa do Exército do Comando de Desenvolvimento de Capacidades de Combate do Exército dos EUA, o laboratório de pesquisa corporativa do Exército, também conhecido como ARL, e a Towson University pode ter identificado uma nova maneira de melhorar a segurança da rede.

Muitos sistemas de segurança cibernética usam detecção de intrusão de rede distribuída que permite que um pequeno número de analistas altamente treinados monitorem várias redes ao mesmo tempo, redução de custos por meio de economias de escala e aproveitamento mais eficiente da experiência limitada em segurança cibernética; Contudo, esta abordagem requer que os dados sejam transmitidos de sensores de detecção de intrusão de rede na rede defendida para servidores de análise central. A transmissão de todos os dados capturados por sensores requer muita largura de banda, pesquisadores disseram.

Por causa disso, a maioria dos sistemas de detecção de intrusão de rede distribuída apenas envia alertas ou resumos de atividades de volta para o analista de segurança. Com apenas resumos, ataques cibernéticos podem não ser detectados porque o analista não tinha informações suficientes para entender a atividade da rede, ou, alternativamente, pode-se perder tempo perseguindo falsos positivos.

Em pesquisa apresentada na 10ª Conferência Internacional Multi-Conferência sobre Complexidade, Informática e cibernética de 12 a 15 de março, 2019, os cientistas queriam identificar como compactar o tráfego de rede o máximo possível sem perder a capacidade de detectar e investigar atividades maliciosas.

Trabalhando com a teoria de que a atividade de rede maliciosa manifestaria sua maldade cedo, os pesquisadores desenvolveram uma ferramenta que parava de transmitir tráfego depois que um determinado número de mensagens era transmitido. O tráfego de rede compactado resultante foi analisado e comparado com a análise realizada no tráfego de rede original.

Como suspeito, os pesquisadores descobriram que os ataques cibernéticos costumam manifestar malícia no início do processo de transmissão. Quando a equipe identificou atividade maliciosa posteriormente no processo de transmissão, geralmente não é a primeira ocorrência de atividade maliciosa nesse fluxo de rede.

"Esta estratégia deve ser eficaz na redução da quantidade de tráfego de rede enviada do sensor para o sistema de analista central, "disse Sidney Smith, um pesquisador de ARL e o autor principal do estudo. "Em última análise, essa estratégia poderia ser usada para aumentar a confiabilidade e a segurança das redes do Exército. "

Para a próxima fase, pesquisadores querem integrar esta técnica com classificação de rede e técnicas de compressão sem perdas para reduzir a quantidade de tráfego que precisa ser transmitida para os sistemas de análise central para menos de 10% do volume de tráfego original, perdendo não mais que 1% dos alertas de segurança cibernética .

"O futuro da detecção de intrusão está no aprendizado de máquina e outras técnicas de inteligência artificial, "Disse Smith." No entanto, muitas dessas técnicas consomem muitos recursos para serem executadas nos sensores remotos, e todos eles requerem grandes quantidades de dados. Um sistema de segurança cibernética que incorpora nossa técnica de pesquisa permitirá que os dados mais provavelmente maliciosos sejam coletados para análise posterior. "