Under en cyberattack, säkerhetsanalytiker fokuserar på att svara på fyra nyckelfrågor:vad hände med nätverket, vad var effekten, varför hände det, och vad ska göras? Och medan analytiker utnyttjar framsteg inom programvara och hårdvaruverktyg i sitt svar, verktygen kan inte svara på dessa frågor så bra som människor kan.

Nu, forskare vid Penn State och US Army Research Office har utvecklat en teknik som avsevärt kan förbättra prestanda för säkerhetsanalytiker. Deras verktyg, en finite state -maskin - en beräkningsmodell som kan användas för att simulera sekventiell logik - konstruerades för att utföra automatisk datatriage av repetitiva uppgifter som analytiker regelbundet hanterar.

"Betydande mängder analysarbete utförs upprepade gånger av mänskliga analytiker, "sa Peng Liu, Raymond G. Tronzo, MD professor i cybersäkerhet vid Penn State College of Information Sciences and Technology och utredare om projektet. "Om en intelligent agent kan hjälpa till med det upprepade arbetet, då kan analytikerna lägga mer tid på att hantera tidigare osynliga cyberattacker. "

"Cyberförsvar är alltid utmanande på grund av det faktum att motståndare alltid gör sitt bästa för att dölja sina handlingar bland en stor mängd normala aktiviteter, "tillade Cliff Wang, avdelningschef, Datavetenskap, Army Research Office, en del av Combat Capabilities Development Command's Army Research Laboratory. "Eftersom cybersäkerhet blir allt viktigare för arméns verksamhet, förmågan att upptäcka och analysera obskyra och onormala beteenden är avgörande, särskilt under det tidiga spaningsskedet. "

Enligt Liu och hans medarbetare, ett tidskrävande skede i cyberanalys är datatriage, vilket innebär att en analytiker undersöker detaljerna i olika datakällor, till exempel intrångssystemvarningar och brandväggsloggar, rensar bort falska positiva, och sedan gruppera de relaterade indikatorerna så att olika attackkampanjer kan separeras från varandra. Deras forskning syftar till att minska analytikernas arbetsbelastning genom att automatisera denna process.

I deras studie, forskarna spårade 394 datatriage -operationer från 29 professionella säkerhetsanalytiker. Sedan, de använde finite state-maskinerna för att känna igen attackvägsmönster i mer än 23 miljoner brandväggsposter och mer än 35, 000 intrångsvarningar som samlats in från en 48-timmars övervakning av ett nätverk med 5, 000 värdar.

"Att identifiera attackvägar i flera heterogena datakällor är en repetitiv uppgift för säkerhetsanalytiker om samma typ av attackväg analyserades tidigare, och sådana repetitiva uppgifter är ofta mycket tidskrävande, "sa Liu." Dessutom, våra intervjuer med säkerhetsanalytiker avslöjade att de kan påverkas väsentligt av trötthet orsakad av analys av ett stort antal säkerhetsrelaterade händelser, och ångest orsakad av tidspress. "

Tekniken kombinerar icke-påträngande spårning av mänskliga datatriageringsoperationer, formella begränsningsgrafer, och datautvinning av driftspår, och utnyttjar principer inom både datavetenskap och kognitiv vetenskap. De ändliga tillståndsmaskinerna "bryts" ur driftspår.

"Forskare från Penn State har lett forskningsinsatser för att tillämpa statistiska metoder, artificiell intelligens och maskininlärning för att identifiera svårt att hitta, intrångsaktiviteter på låg nivå, och avancerade staten på detta område, sa Wang.

Forskningen, "Lär dig av experters erfarenhet:Mot automatiserad datainsamling av cybersäkerhet, "finansierades av US Army Research Office och publicerades i mars 2019 -numret av IEEE Systems Journal .