Il est incontestable que la technologie est désormais une partie fondamentale et inextricable de notre existence quotidienne - pour la plupart des gens, notre emploi, transport, soins de santé, éducation, et d'autres mesures de la qualité de vie dépendent entièrement de la technologie. Notre dépendance a créé un besoin urgent de cybersécurité dynamique qui protège le gouvernement américain, des atouts de la recherche et de l'industrie face aux avancées technologiques et à des adversaires de plus en plus sophistiqués.

Le laboratoire national d'Argonne du département américain de l'Énergie (DOE) aide à montrer la voie dans la recherche et le développement de la cybersécurité proactive, y compris des mesures qui tirent parti de l'apprentissage automatique, pour aider à protéger les données et les infrastructures critiques contre les cyberattaques.

L'apprentissage automatique est une catégorie d'intelligence artificielle qui implique la formation de machines pour apprendre et identifier en permanence des modèles dans des ensembles de données.

« L'application d'approches d'apprentissage automatique aux efforts de cybersécurité est logique en raison de la grande quantité de données impliquées, " a déclaré Nate Evans, responsable du programme de recherche sur la cybersécurité au sein de la Division des sciences de la sécurité stratégique (SSS). "Il n'est pas efficace pour les humains d'exploiter des données pour ces modèles à l'aide d'algorithmes traditionnels."

Les informaticiens d'Argonne développent des algorithmes d'apprentissage automatique à l'aide de grands ensembles de données, comprenant des données de journal provenant de différents appareils, informations sur le trafic réseau, et les cas de comportement malveillant, qui permettent aux algorithmes de reconnaître des modèles d'événements spécifiques qui conduisent à des attaques. Lorsque de tels modèles sont identifiés, une équipe d'intervention enquête sur les instances correspondant à ces modèles.

Suite à une attaque, l'équipe d'intervention corrige la vulnérabilité des systèmes de protection contre les intrusions du laboratoire. L'analyse médico-légale peut alors conduire à des changements qui empêchent de futures attaques similaires.

"Nous cherchons des moyens d'arrêter les attaques avant qu'elles ne surviennent, " a déclaré Evans. " Nous ne sommes pas seulement concernés par la protection de notre propre laboratoire, nous développons également des méthodes pour protéger d'autres laboratoires nationaux, et le pays dans son ensemble, contre les cyberattaques potentielles."

L'approche d'apprentissage automatique permet à un ordinateur de servir de chasseur de cybermenaces, extraire de gros volumes de données tandis que les humains sont libres de se concentrer sur les menaces les plus risquées.

Avec d'énormes quantités de données générées non seulement à partir d'Argonne mais aussi par d'autres laboratoires nationaux et ailleurs dans le DOE, l'analyse nécessite des supercalculateurs à grande vitesse, tels que Theta au Leadership Computing Facility d'Argonne, une installation utilisateur du DOE Office of Science.

"Nous parlons de milliards et de milliards d'enregistrements par jour, " Evans a dit, "et l'ordinateur identifie où il peut y avoir un trafic inhabituel ou malveillant."

Les chercheurs s'efforcent également de tester leurs méthodes d'apprentissage automatique sur des données du secteur privé, dit Evans. De telles études futures pourraient produire des connaissances transférables au secteur bancaire et à d'autres infrastructures américaines critiques, il a dit.

Enseigner notre langage aux ordinateurs

Les scientifiques d'Argonne utilisent l'intelligence artificielle pour lutter contre les menaces de cybersécurité sur de nombreux fronts. L'informaticien Sandeep Maddireddy de la division Mathématiques et informatique (MCS) d'Argonne mène des recherches pour faciliter l'utilisation sûre des applications informatiques—traitements de texte, feuilles de calcul, Navigateurs Web, etc. Les techniques d'apprentissage automatique peuvent être un outil puissant pour lutter contre les cyberattaques qui exploitent les failles de sécurité de ces programmes omniprésents.

L'apprentissage automatique gère les données structurées et non structurées. Les données structurées sont organisées en modèles formels tels que des tableaux qui peuvent facilement alimenter un modèle. Les données non structurées prennent souvent la forme de texte, une forme de données beaucoup plus nuancée et complexe.

"Pour les données non structurées, " dit Madireddy, "nos chercheurs construisent des algorithmes qui extraient des informations des journaux de données au format texte en utilisant des approches telles que le traitement du langage naturel, inspiré des méthodes utilisées dans le monde commercial pour comprendre le texte."

Avec le traitement du langage naturel, des séquences de lettres servent d'entrée au modèle d'apprentissage automatique. Les algorithmes s'appuient ensuite sur des modèles de langage statistiques en constante amélioration pour développer des associations entre les termes et faire des prédictions sur la légitimité de certaines communications.

"Nous essayons d'explorer les similitudes entre ces textes, identifier des modèles répétitifs significatifs, et les classer en bons ou mauvais en termes de cybersécurité, " dit Maddireddy. " Nous voulons extraire les anomalies. "

Par exemple, le traitement du langage naturel peut aider à distinguer les communications légitimes des communications de phishing, afin d'éviter une faille de sécurité via les applications de messagerie.

En outre, Les chercheurs d'Argonne développent des méthodes pour extraire des données de séries chronologiques - des données collectées à des intervalles successifs, intervalles de temps connus - pour fournir un autre moyen de détecter les cyberattaques. Lorsqu'un système est attaqué, il y a souvent un changement de comportement soudain dans les données de séries chronologiques reçues par le système. Les algorithmes de détection de point de changement peuvent utiliser des données historiques et actuelles pour déterminer l'heure exacte à laquelle un changement aussi radical s'est produit.

"Cela nous avertit d'une sorte de comportement anormal afin que nous puissions y regarder de plus près, ", a déclaré Madireddy.

Maintien de la sécurité et des fonctionnalités

En plus de ses programmes de recherche en cybersécurité, Argonne abrite un bureau du programme de cybersécurité (CSPO) utilisant l'apprentissage automatique pour protéger les informations numériques du laboratoire. Par exemple, les informaticiens de CSPO développent des algorithmes d'apprentissage automatique pour créer un protocole de protection par mot de passe plus flexible.

« Nous voulons éviter les faux positifs en ce qui concerne la détection des menaces, donc quand quelqu'un se connecte, nous nous éloignons du protocole rigide consistant à autoriser trois essais avant qu'ils ne soient bloqués, " a déclaré Matt Kwiatkowski, directeur adjoint de la sécurité de l'information. " Au lieu de cela, nous pouvons former des ordinateurs pour apprendre les modèles de connexion des gens à nos réseaux, tels que leur emplacement et l'heure à laquelle ils se connectent, assouplir le protocole pour les salariés, tout en gardant le réseau sécurisé."

Le bureau du programme de cybersécurité développe également des algorithmes d'apprentissage automatique comme mesure de réduction des coûts. Par exemple, les institutions paient généralement des services tiers pour catégoriser différents sites Web comme informatifs, gouvernemental, ou les réseaux sociaux. L'équipe essaie d'utiliser l'apprentissage automatique pour reconnaître les modèles dans les fonctionnalités du site Web afin de les classer par eux-mêmes.

La recherche en cybersécurité d'Argonne, ainsi que la solide culture de sécurité de l'information de l'organisation, garder le laboratoire à la pointe de la technologie, dit Kwiatkowski.

"Nos employés reconnaissent le besoin de sécurité, et ils le prennent au sérieux, " dit-il. " Si une mesure de sécurité entrave leur travail, nous essayons de trouver des moyens créatifs de maintenir la sécurité et la fonctionnalité. Il s'agit d'être à l'écoute de nos collaborateurs, étant adaptable et explorant toujours de nouvelles façons de faire les choses alors que le monde de la cybersécurité continue d'évoluer rapidement."

Chaque laboratoire national du DOE dispose d'une branche de cybersécurité opérationnelle qui se concentre sur la protection contre les cyberattaques. Certains des autres laboratoires se concentrent sur l'analyse des menaces actuelles et d'où elles viennent, tandis que d'autres se concentrent sur la protection de l'infrastructure électrique du pays. Argonne est l'un des laboratoires nationaux qui dispose également d'un solide bras de recherche en cybersécurité.