Lors d'une cyberattaque, les analystes de sécurité se concentrent sur quatre questions clés :qu'est-il arrivé au réseau, quel a été l'impact, pourquoi est-ce arrivé, et que faut-il faire ? Et tandis que les analystes utilisent les avancées des outils logiciels et matériels dans leur réponse, les outils sont incapables de répondre à ces questions aussi bien que les humains le peuvent.

Maintenant, des chercheurs de Penn State et du U.S. Army Research Office ont mis au point une technique qui pourrait améliorer considérablement les performances des analystes de sécurité. Leur outil, une machine à états finis – un modèle informatique qui peut être utilisé pour simuler une logique séquentielle – a été construite pour effectuer un tri automatique des données des tâches répétitives que les analystes gèrent régulièrement.

"Des quantités substantielles de travail d'analyse sont effectuées à plusieurs reprises par des analystes humains, " dit Peng Liu, Raymond G. Tronzo, M.D. Professeur de cybersécurité au Penn State's College of Information Sciences and Technology et chercheur sur le projet. "Si un agent intelligent peut aider à faire le travail répété, les analystes peuvent alors passer plus de temps à gérer des situations de cyberattaques inédites."

"La cyberdéfense est toujours un défi en raison du fait que les adversaires font toujours de leur mieux pour cacher leurs actes parmi une énorme quantité d'activités normales, " a ajouté Cliff Wang, Chef de division, Informatique, Bureau de recherche de l'armée, un élément du Laboratoire de recherche de l'armée du Commandement du développement des capacités de combat. « Alors que la cybersécurité devient de plus en plus importante pour les opérations de l'armée, la capacité à détecter et analyser les comportements obscurs et anormaux est essentielle, surtout pendant la première étape de reconnaissance."

Selon Liu et ses collaborateurs, une étape fastidieuse de la cyberanalyse est le triage des données, ce qui implique un analyste examinant les détails de diverses sources de données telles que les alertes du système d'intrusion et les journaux de pare-feu, éliminer les faux positifs, puis regrouper les indicateurs associés afin que les différentes campagnes d'attaques puissent être séparées les unes des autres. Leurs recherches visent à réduire la charge de travail des analystes en automatisant ce processus.

Dans leur étude, les chercheurs ont retracé 394 opérations de tri des données de 29 analystes de sécurité professionnels. Puis, ils ont utilisé les machines à états finis pour reconnaître les modèles de chemin d'attaque dans plus de 23 millions d'entrées de journaux de pare-feu et plus de 35, 000 alertes d'intrusion collectées à partir d'une surveillance de 48 heures d'un réseau avec 5, 000 hôtes.

"L'identification des chemins d'attaque dans plusieurs sources de données hétérogènes est une tâche répétitive pour les analystes de sécurité si le même type de chemin d'attaque a été analysé auparavant, et ces tâches répétitives prennent souvent beaucoup de temps, " dit Liu. " De plus, nos entretiens avec des analystes de sécurité ont révélé qu'ils pourraient être considérablement affectés par la fatigue causée par l'analyse d'un grand nombre d'événements liés à la sécurité, et l'anxiété causée par la pression du temps."

La technique combine le traçage non intrusif des opérations de triage des données humaines, graphes de contraintes formelles, et data mining des traces d'opérations, et exploite les principes de l'informatique et des sciences cognitives. Les machines à états finis sont « minées » hors des traces de fonctionnement.

"Les chercheurs de Penn State ont mené des efforts de recherche dans l'application de méthodes statistiques, l'intelligence artificielle et l'apprentissage automatique pour identifier les éléments difficiles à trouver, activités d'intrusion de bas niveau, et fait avancer l'Etat dans ce domaine, " dit Wang.

La recherche, "Apprendre de l'expérience des experts :vers un triage automatisé des données de cybersécurité, " a été financé par le US Army Research Office et publié dans le numéro de mars 2019 de Journal des systèmes IEEE .