انتشار شده در تاریخ 1398/02/16 - 10:59

پیشبرد تشخیص نفوذ در نیروی زمینی آمریکا

آزمایشگاه تحقیقاتی نیروی زمینی ایالات‌متحده و دانشگاه تاسون قصد همکاری برای توسعه شناسایی نفوذ را دارند.

به گزارش کارگروه بین‌الملل سایبربان؛ محققان آزمایشگاه تحقیقاتی نیروی زمینی ایالات متحده (ARL) در فرماندهی توسعه توانایی‌های رزمی به همراه دانشگاه «Towson» قصد همکاری به منظور ایجاد هشدارهای تشخیص نفوذ برای تیم‌های امنیت سایبری و فراهم کردن اطلاعات عملیاتی بیشتر را دارند.

یکی از چالش‌های ذاتی هر نوع هشدار، پلتفرم تشخیص نفوذ است که باعث می‌شود تنها مقدار محدودی از داده‌ها پردازش شوند. محققان این آزمایشگاه و دانشگاه تاسون تلاش می‌کنند تا رویکردی برای فشرده‌سازی اطلاعات و کسب داده‌های بیشتر در هر هشدار را توسعه دهند. امروزه، اکثر هشدارها فراتر از خلاصه یک مسئله احتمالی هستند.

کارشناسان در کنفرانس بین‌المللی اخیر در مورد سیبرنتیک، انفورماتیک و پیچیدگی، فشرده‌سازی ترافیک شبکه بدون از دست دادن توانایی تشخیص بررسی فعالیت‌های مخرب را پیشنهاد می‌دهند. سیدنی اسمیت (Sidney Smith)، محقق آزمایشگاه تحقیقاتی نیروی زمینی آمریکا گفت که این توانایی باعث پیوست اطلاعات بیشتر به هر هشداری می‌شود؛ در نتیجه، کار اولویت‌بندی هشدارها براساس بدافزارهای شناخته شده به‌وسیله تیم‌های امنیت سایبری راحت‌تر می‌شود.

اسمیت اعلام کرد که امروزه تعداد زیادی نرم‌افزارهای مخرب به‌وسیله سیستم‌های تشخیص نفوذ از دست رفته‌اند، زیرا محدود به تجزیه‌وتحلیل داده‌ها در اوایل فرآیند انتقال هستند. بااین‌حال، محققان بدافزارهای شناسایی شده را تا زمان بعدی در فرآیند مشخص نمی‌کنند. فشرده‌سازی داده‌های جمع‌آوری شده، منجر به شناسایی حملات بدافزاری پنهانی پس از انتقال می‌شود.

وی افزود:

در حال حاضر هدف اصلی، ترکیب تکنیک‌های فشرده‌سازی کم‌خطر با سیستم طبقه‌بندی برای کاهش میزان ترافیک است که باید با از دست دادن کمتر از یک درصد هشدارهای امنیت سایبری در سیستم‌های تحلیل مرکزی به کمتر از 10 درصد حجم اصلی ترافیک منتقل شوند.

امروزه، بیشتر تیم‌های امنیت سایبری از یک مورد مزمن خستگی هشدار رنج می‌برند. بنابراین بسیاری از هشدارها ایجاد شده‌اند و بسیاری از تیم‌ها به آن‌ها عادت کرده‌اند، اما بعداً متوجه می‌شوند که یکی از هزاران هشدار نشان‌دهنده حمله سایبری بوده است. درحالی‌که بسیاری از تلاش‌های تحقیق و توسعه برای الگوریتم‌های یادگیری ماشینی به شناسایی الگوها در تمام داده‌های هشدار ختم می‌شوند، مشکل اینجا است که هشدارها در ابتدا باید روی پلتفرم کلان داده جمع‌آوری شوند. بااین‌حال، گروه‌های امنیت سایبری نیازمند اطلاعات عملیاتی هستند تا بتوانند در زمان واقعی فعالیت کنند و این به معنای روش کارآمدتر تجزیه‌وتحلیل اطلاعات موردنیاز است.

در حال حاضر، باید تمام توجه به امنیت سایبری معطوف شود و تیم مشترک تحقیقاتی آزمایشگاه نیروی زمینی و دانشگاه تاسون تنها تیم موجود در مورد این موضوع نیستند. اما آزمایشگاه به عنوان یک نهاد دولتی، تمایل دارد یافته‌های خود را برای تقویت امنیت سایبری به اشتراک بگذارد. این مسئله شاید قبل از یافتن راهی به سمت پلتفرم‌ها و خدمات تیم‌های امنیت سایبری باید مورد توجه باشد، اما حداقل پیشرفت براساس درک نحوه عبور بدافزارها از دفاع‌های موجود حاصل می‌شود.