Credit: CC0 Public Domain
Trong một cuộc tấn công mạng, các nhà phân tích bảo mật tập trung vào việc trả lời bốn câu hỏi chính: điều gì đã xảy ra với mạng, tác động là gì, tại sao nó lại xảy ra và phải làm gì? Và trong khi các nhà phân tích sử dụng những tiến bộ trong công cụ phần mềm và phần cứng trong phản ứng của họ, thì các công cụ này không thể trả lời những câu hỏi này cũng như con người có thể.
Giờ đây, các nhà nghiên cứu tại bang Pennsylvania và Văn phòng nghiên cứu quân đội Hoa Kỳ đã phát triển một kỹ thuật có thể cải thiện đáng kể hiệu suất của các nhà phân tích bảo mật. Công cụ của họ, một máy trạng thái hữu hạn, một mô hình tính toán có thể được sử dụng để mô phỏng logic tuần tự, được xây dựng để thực hiện phân chia dữ liệu tự động của các nhiệm vụ lặp đi lặp lại mà các nhà phân tích thường xử lý.
'Các công việc phân tích đáng kể được các nhà phân tích do con người thực hiện nhiều lần', ông Peng Liu, Raymond G. Tronzo, giáo sư về an ninh mạng tại trường đại học khoa học và công nghệ thông tin của bang Pennsylvania, dự án cho biết. 'Nếu một tác nhân thông minh có thể giúp thực hiện công việc lặp đi lặp lại, thì các nhà phân tích có thể dành nhiều thời gian hơn để xử lý các tình huống tấn công mạng chưa từng thấy trước đây.'
"Phòng thủ không gian mạng luôn thách thức do thực tế là các đối thủ luôn cố gắng hết sức để che giấu hành vi của họ giữa một lượng lớn các hoạt động bình thường," Cliff Wang, trưởng phòng, Khoa học máy tính, Văn phòng nghiên cứu quân sự, một thành phần của Phòng thí nghiệm nghiên cứu quân sự của Bộ chỉ huy phát triển khả năng chiến đấu cho biết thêm. "Khi an ninh mạng ngày càng trở nên quan trọng đối với các hoạt động của Quân đội, khả năng phát hiện và phân tích hành vi mơ hồ và bất thường là rất cần thiết, đặc biệt là trong giai đoạn trinh sát sớm."
Theo Liu và các cộng tác viên của mình, giai đoạn tiêu tốn thời gian trong phân tích không gian mạng là phân loại dữ liệu, bao gồm một nhà phân tích kiểm tra các chi tiết của các nguồn dữ liệu khác nhau như cảnh báo hệ thống xâm nhập và nhật ký tường lửa, loại bỏ các thông báo sai, sau đó nhóm các chỉ số liên quan Để các chiến dịch tấn công khác nhau có thể được tách ra khỏi nhau. Nghiên cứu của họ nhằm giảm khối lượng công việc của các nhà phân tích bằng cách tự động hóa quy trình này.
Trong nghiên cứu của họ, các nhà nghiên cứu đã theo dõi 394 hoạt động xử lý dữ liệu của 29 nhà phân tích bảo mật chuyên nghiệp. Sau đó, họ sử dụng các máy trạng thái hữu hạn để nhận ra các mẫu đường dẫn tấn công trong hơn 23 triệu mục nhật ký tường lửa và hơn 35.000 cảnh báo xâm nhập được thu thập từ một cuộc giám sát 48 giờ của mạng với 5.000 máy chủ.
Kỹ thuật này kết hợp theo dõi không xâm phạm các hoạt động xử lý dữ liệu của con người, biểu đồ ràng buộc chính thức và khai thác dữ liệu của dấu vết hoạt động và tận dụng các nguyên tắc trong cả khoa học máy tính và khoa học nhận thức. Các máy trạng thái hữu hạn được 'khai thác' ra khỏi dấu vết hoạt động.
'Các nhà nghiên cứu của bang Pennsylvania đã nỗ lực nghiên cứu hàng đầu trong việc áp dụng các phương pháp thống kê, trí tuệ nhân tạo và học máy để xác định các hoạt động xâm nhập cấp thấp, khó tìm và nâng cao nhà nước trong lĩnh vực này', Wang nói.
Nghiên cứu, 'Học hỏi kinh nghiệm của các chuyên gia: Hướng tới việc xử lý dữ liệu an ninh mạng tự động', được tài trợ bởi Văn phòng nghiên cứu quân đội Hoa Kỳ và được xuất bản trong số ra tháng 3 năm 2019 của Tạp chí IEEE Systems.
Tóm tắt nghiên cứu viết: Các trung tâm hoạt động an ninh (SOC) sử dụng các biện pháp phòng thủ không gian mạng khác nhau để giám sát các sự kiện mạng. Ngoài các biện pháp này, SOC còn phải nhờ đến các nhà phân tích của con người để hiểu được dữ liệu thu thập được để phát hiện và ứng phó sự cố. Tuy nhiên, với dữ liệu mạng sắp tới được thu thập và tích lũy với tốc độ nhanh, các nhà phân tích thường bị choáng ngợp bởi các nhiệm vụ xử lý dữ liệu tẻ nhạt và lặp đi lặp lại để họ khó có thể tập trung vào phân tích chuyên sâu để tạo báo cáo sự cố kịp thời và chất lượng. Nghiên cứu phát hiện nhằm giảm khối lượng công việc của các nhà phân tích bằng cách phát triển các máy tự động xử lý dữ liệu. Chúng tôi đã phát triển một phương pháp theo dõi có sự trợ giúp của máy tính để nắm bắt các hoạt động của các nhà phân tích trong khi họ đang thực hiện một nhiệm vụ. Bài viết này đề xuất một phương pháp khai thác theo dõi dựa trên biểu đồ để xây dựng các mẫu hữu ích để phân loại dữ liệu từ các dấu vết hoạt động. Máy trạng thái hữu hạn có thể được xây dựng dựa trên các quy tắc để tự động hóa việc phân loại dữ liệu. Một nghiên cứu tình huống liên quan đến con người được thực hiện để đánh giá cách tiếp cận của chúng tôi, trong đó 30 nhà phân tích chuyên nghiệp đã được tuyển dụng và yêu cầu hoàn thành nhiệm vụ phân tích không gian mạng với các hoạt động của họ được theo dõi. Các máy trạng thái được xây dựng dựa trên các dấu vết và sau đó hiệu quả của việc phát triển các máy trạng thái và hiệu suất của các máy trạng thái được đánh giá. Kết quả cho thấy có thể tiến hành xử lý dữ liệu tự động bằng cách tận dụng dấu vết của các nhà phân tích. Các máy trạng thái có thể hoàn thành xử lý một lượng lớn dữ liệu trong vòng vài phút. So sánh hiệu suất của việc phân loại dữ liệu tự động với sự thật cơ bản, chúng tôi thấy rằng có thể đạt được tỷ lệ dương tính giả thỏa đáng.