由于网络安全是全国最重要的安全问题之一,去年受到违规行为影响的数十亿人,政府和企业正在花费更多的时间和金钱来抵御它。陆军作战能力发展司令部陆军研究实验室,陆军企业研究实验室(也称为ARL)和陶森大学的研究人员可能已经确定了一种改善网络安全的新方法。
许多网络安全系统使用分布式网络入侵检测,允许少数训练有素的分析师同时监控多个网络,通过规模经济降低成本,并更有效地利用有限的网络安全专业知识;然而,这种方法要求数据从防御网络上的网络入侵检测传感器传输到中央分析服务器。研究人员说,传输传感器捕获的所有数据需要太多的带宽。
因此,大多数分布式网络入侵检测系统仅将警报或活动摘要发送回安全分析员。由于只有摘要,网络攻击可能无法检测到,因为分析师没有足够的信息来理解网络活动,或者可能浪费时间来追逐误报。
在2010年3月12日至15日举行的第10届国际复杂性,信息学和控制论多国会议上发表的研究中,科学家们想要确定如何尽可能地压缩网络流量,同时又不失去检测和调查恶意活动的能力。
根据恶意网络活动早期表现出恶意的理论,研究人员开发了一种工具,可以在传输给定数量的消息后停止传输流量。分析得到的压缩网络流量,并与在原始网络流量上执行的分析进行比较。
据猜测,研究人员发现网络攻击通常会在传输过程中早期表现出恶意。当团队在传输过程中稍后发现恶意活动时,通常不是该网络流中第一次发生恶意活动。
“这种策略应该能够有效地减少从传感器发送到中央分析系统的网络流量,”ARL研究员兼该研究的主要作者Sidney Smith说。“最终,这一战略可用于提高陆军网络的可靠性和安全性。”
对于下一阶段,研究人员希望将此技术与网络分类和无损压缩技术相结合,以将需要传输到中央分析系统的流量减少到原始流量的10%以下,同时损失不超过1网络安全警报的百分比。
“入侵检测的未来是机器学习和其他人工智能技术,”史密斯说。“然而,这些技术中的许多技术资源太密集而无法在远程传感器上运行,而且所有这些技术都需要大量数据。结合我们研究技术的网络安全系统将允许收集最可能是恶意的数据以供进一步分析“。