网络安全是美国面临的首要安全问题之一,政府和企业正投入更多时间和资金来保障网络安全。美陆军研究实验室(ARL)和陶森大学的研究人员提供了一种在压缩网络流量的情况下检测和调查网络恶意活动的方法。
研究背景
许多网络安全系统使用分布式网络入侵检测方法,即少数分析师同时监控多个网络,通过规模效应降低成本,并更有效地利用有限的网络安全专业知识;然而,这种方法要求将数据从防御网络上的网络入侵检测传感器传输到中央分析服务器。研究人员指出,这种方式需要上传传感器获取的所有数据,占用太多带宽。
于是大多数分布式网络入侵检测系统只向网络安全分析发送警报或网络活动摘要。但是分析师没有足够的信息来理解网络活动,无法确定网络攻击。此外分析误报信息会浪费时间。
研究成果
在第10届国际复杂性、信息学和控制论多国会议上,美陆军研究人员公布一种在压缩网络流量的情况下检测和调查网络恶意活动的方法,以提高网络安全性。
根据恶意网络活动早期特点,研究人员开发了一种工具,在给定数量的消息传输完毕后中断流量的传输。然后对产生的网络压缩流量进行分析,并与原始网络流量的分析进行比较。
研究人员发现,网络攻击在数据传输的早期就表现出恶意特征。当安全团队在数据传输过程的后期发现恶意活动时,通常该网络流量此前就出现过多次恶意活动。
该研究的主要作者、ARL研究人员西德尼·史密斯指出,这种策略可有效减少从传感器发送到中央分析系统的网络流量。该技术可用以提高陆军网络的可靠性和安全性。
未来计划
在下一阶段,研究人员希望将该技术与网络分类和无损压缩技术相结合,将需要传输到中央分析系统的流量减少到原始流量的10%以下,同时网络安全警报的损失比例不超过1%。
史密斯指出,入侵检测的未来取决于机器学习和其他人工智能技术。然而,这些技术中多数都是资源密集型的,无法在远程传感器上运行,而且所有这些技术都需要大量数据。这项研究技术成果可应用到未来的网络安全系统,尽可能收集包含恶意数据的流量以供进一步分析。
来源 :美国科学促进会下的科学新闻网站/图片来自互联网
军事科学院军事科学信息研究中心 吴海
声明:本文来自国防科技要闻,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。