Con la ciberseguridad, una de las principales preocupaciones de seguridad de la nación y miles de millones de personas afectadas por violaciones el año pasado, el gobierno y las empresas están gastando más tiempo y dinero defendiéndose contra ella. Investigadores del Laboratorio de Investigación del Ejército del Comando de Desarrollo de Capacidades de Combate del Ejército de EE. UU.laboratorio de investigación también conocido como ARL, y la Universidad de Towson puede haber identificado una nueva forma de mejorar la seguridad de la red.
Muchos sistemas de ciberseguridad utilizan la detección de intrusiones de red distribuida que permite a un pequeño número de analistas altamente capacitados monitorear varias redes al mismo tiempo, reduciendo los costos a través de economías de escala y aprovechando de manera más eficiente la experiencia limitada en ciberseguridad; sin embargo, este enfoque requiere la transmisión de datosdesde sensores de detección de intrusiones de red en la red defendida hasta servidores de análisis centrales. La transmisión de todos los datos capturados por los sensores requiere demasiado ancho de banda, dijeron los investigadores.
Debido a esto, la mayoría de los sistemas distribuidos de detección de intrusos en la red solo envían alertas o resúmenes de actividades al analista de seguridad. Con solo resúmenes, los ataques cibernéticos pueden pasar desapercibidos porque el analista no tenía suficiente información para comprender la actividad de la red, o, alternativamente, puede desperdiciarse el tiempo persiguiendo falsos positivos.
En una investigación presentada en la Décima Conferencia Internacional Múltiple sobre Complejidad, Informática y Cibernética del 12 al 15 de marzo de 2019, los científicos querían identificar cómo comprimir el tráfico de red tanto como sea posible sin perder la capacidad de detectar e investigar actividades maliciosas.
Trabajando en la teoría de que la actividad maliciosa de la red manifestaría su malicia temprano, los investigadores desarrollaron una herramienta que detendría la transmisión de tráfico después de que se transmitiera un número determinado de mensajes. El tráfico de red comprimido resultante se analizó y comparó con el análisis realizado enel tráfico de red original
Como se sospechaba, los investigadores descubrieron que los ataques cibernéticos a menudo manifiestan malicia al principio del proceso de transmisión. Cuando el equipo identificó actividad maliciosa más adelante en el proceso de transmisión, generalmente no era la primera vez que ocurría actividad maliciosa en ese flujo de red.
"Esta estrategia debería ser efectiva para reducir la cantidad de tráfico de red enviado desde el sensor al sistema analista central", dijo Sidney Smith, investigador de ARL y autor principal del estudio. "En última instancia, esta estrategia podría usarse para aumentar la confiabilidady seguridad de las redes del Ejército "
Para la siguiente fase, los investigadores desean integrar esta técnica con la clasificación de red y las técnicas de compresión sin pérdidas para reducir la cantidad de tráfico que debe transmitirse a los sistemas de análisis central a menos del 10% del volumen de tráfico original sin perder másdel 1% de las alertas de ciberseguridad.
"El futuro de la detección de intrusos está en el aprendizaje automático y otras técnicas de inteligencia artificial", dijo Smith. "Sin embargo, muchas de estas técnicas requieren muchos recursos para ejecutarse en los sensores remotos, y todas requieren grandes cantidades de datos".Un sistema de ciberseguridad que incorpore nuestra técnica de investigación permitirá recopilar los datos con mayor probabilidad de ser maliciosos para su posterior análisis ".
Fuente de la historia :
Materiales proporcionado por Laboratorio de investigación del ejército de EE. UU. . Nota: El contenido puede ser editado por estilo y longitud.
Cita esta página :