Метод усовершенствования сетевой безопасности

Метод усовершенствования сетевой безопасности

Выпуск 10(6684) от 23 мая 2019 г.
РУБРИКА: УПРАВЛЕНИЕ И БЕЗОПАСНОСТЬ

Сегодня кибербезопасность – ​один из важнейших факторов, оказывающих влияние на состояние национальной безопасности. Специалисты Научно-исследовательской лаборатории сухопутных войск США и университета Тоусона (шт. Мэриленд) предложили новый метод усовершенствования сетевой безопасности.

Будущее систем обнаружения вторжений – ​в применении технологий машинного обучения и искусственного интеллекта. Недостаток указанных технологий – ​их ресурсоемкость, связанная с использованием слишком больших объемов данных, что ограничивает возможности их применения совместно с удаленными датчиками.

Распространенный тип систем кибербезопасности – ​системы обнаружения вторжений на основе распределенных сетей (см. рисунок). Их использование позволяет небольшому количеству высококвалифицированных специалистов контролировать несколько сетей одновременно, при этом обеспечивая снижение затрат за счет экономии от масштаба и более эффективное распределение ресурсов. Ограничение таких систем связано с тем, что передача всего объема данных от датчиков обнаружения вторжения, которыми оборудована защищаемая сеть, на центральные анализаторы требует слишком большой полосы пропускания. По указанной причине большинство современных распределенных сетевых систем обнаружения вторжений предоставляют специалистам по кибербезопасности данные частично, отправляя им только предупреждения об угрозах или сводки действий. Отсутствие полной информации не позволяет эффективно противодействовать кибератакам: некоторые угрозы остаются незамеченными в условиях недостаточного анализа сетевой активности; в других случаях специалисты тратят силы и время, реагируя на предупреждения, за которыми в действительности не стоит серьезных угроз.



Структура распределенной сети


Цель совместного исследования специалистов Научно-исследовательской лаборатории сухопутных войск США и университета Тоусона – ​определение методов максимального сжатия сетевого трафика без потери возможности обнаружения и анализа вредоносной активности.

В ходе исследования специалисты руководствовались гипотезой о возможности раннего обнаружения вредоносной сетевой активности. Был разработан инструмент, прекращающий передачу трафика после определенного количества сообщений о вредоносной активности. Затем был проведен сравнительный анализ исходного и сжатого сетевых трафиков.

В результате исследования специалисты подтвердили свою гипотезу о возможности раннего обнаружения вредоносной сетевой активности. Как правило, о вредоносности сетевой активности можно судить уже на ранних этапах; установление вредоносности на более поздних этапах чаще всего является следствием того, что ее признаки на ранних этапах были пропущены.

Специалистами была предложена методика сбора данных о вредоносном трафике для дальнейшего анализа. Разработанная стратегия эффективна для снижения объема сетевого трафика, передаваемого от датчиков защищаемой распределенной сети в центральную аналитическую систему, и перспективна для повышения надежности и безопасности военных сетей США.

Специалисты Научно-исследовательской лаборатории сухопутных войск США и университета Тоусона планируют продолжить исследование. Их новая цель – ​на основе совместного использования методов сжатия сетевого трафика и классификации сетей обеспечить снижение объемов трафика, необходимого к передаче в центральные аналитические системы, до уровня менее 10% от исходного объема с допустимыми потерями предупреждений, не превышающими 1%.


Army Researchers Identify New Way to Improve Cybersecurity. Phys.org, April 17, 2019: https://phys.org/news/2019–04-army-cybersecurity.html


ЧИТАЙТЕ ТАКЖЕ

Выпуск 12(6686) от 20 июня 2019 г. г.
Выпуск 2(6726) от 28 января 2021 г. г.