Vijay Gadepally si trova nel centro di supercalcolo interno del Lincoln Laboratory. Gadepally fa parte di un team che ha sfruttato il supercalcolo per affrontare i problemi di sicurezza informatica. Credito:Glen Cooper
Identificare le minacce alla sicurezza informatica dai dati Internet grezzi può essere come individuare un ago in un pagliaio. La quantità di dati sul traffico Internet generati in un periodo di 48 ore, Per esempio, è troppo grande per essere trasformato da uno o anche 100 laptop in qualcosa di digeribile per gli analisti umani. Ecco perché gli analisti si affidano al campionamento per cercare potenziali minacce, selezionando piccoli segmenti di dati da approfondire, sperando di trovare comportamenti sospetti.
Sebbene questo tipo di campionamento possa funzionare per alcune attività, come identificare indirizzi IP popolari, è inadeguato per trovare tendenze minacciose più sottili.
"Se stai cercando di rilevare un comportamento anomalo, per definizione quel comportamento è raro e improbabile, "dice Vijay Gadepally, un membro anziano dello staff del Lincoln Laboratory Supercomputing Center (LLSC). "Se stai campionando, rende quasi impossibile trovare una cosa già rara."
Gadepally fa parte di un team di ricerca del laboratorio che crede che il supercalcolo possa offrire un metodo migliore, che garantisca agli analisti l'accesso a tutti i dati pertinenti contemporaneamente, per identificare queste sottili tendenze. In un articolo pubblicato di recente, il team ha condensato con successo 96 ore di raw, Dati sul traffico Internet del collegamento di rete da 1 gigabit in un pacchetto pronto per la query. Hanno creato il bundle eseguendo 30, 000 nuclei di elaborazione (pari a circa 1, 000 laptop) presso il LLSC situato a Holyoke, Massachusetts, ed è memorizzato nel MIT SuperCloud, dove è possibile accedervi da chiunque disponga di un account.
"[La nostra ricerca] ha dimostrato che potremmo sfruttare le risorse di supercalcolo per portare una quantità enorme di dati e metterli in una posizione in cui un ricercatore di sicurezza informatica può farne uso, "Spiega Gadepally.
Un esempio del tipo di attività minacciosa che richiede agli analisti di scavare in una così grande quantità di dati sono le istruzioni dei server di comando e controllo (C&C). Questi server inviano comandi ai dispositivi infetti da malware per rubare o manipolare i dati.
Gadepally paragona il loro modello di comportamento a quello dei chiamanti spam:mentre un normale chiamante potrebbe effettuare e ricevere un numero uguale di chiamate, uno spammer farebbe milioni di chiamate in più di quelle che riceve. È la stessa idea per un server C&C, e questo modello può essere trovato solo esaminando molti dati per un lungo periodo di tempo.
"L'attuale standard del settore è quello di utilizzare piccole finestre di dati, dove butti via il 99,99 percento, " Dice Gadepally. "Siamo stati in grado di conservare il 100 percento dei dati per questa analisi".
Il team prevede di spargere la voce sulla loro capacità di comprimere una quantità così grande di dati e sperano che gli analisti approfittino di questa risorsa per fare il passo successivo nel reprimere le minacce che finora sono state sfuggenti. Stanno anche lavorando a modi per capire meglio che aspetto ha il comportamento "normale" di Internet nel suo insieme, in modo che le minacce possano essere identificate più facilmente.
"Il rilevamento delle minacce informatiche può essere notevolmente migliorato disponendo di un modello accurato del normale traffico di rete in background, "dice Jeremy Kepner, un collega del Lincoln Laboratory al LLSC che sta guidando questa nuova ricerca. Gli analisti potrebbero confrontare i dati sul traffico Internet che stanno studiando con questi modelli per portare più prontamente in superficie comportamenti anomali.
"Utilizzando la nostra pipeline di elaborazione, siamo in grado di sviluppare nuove tecniche per il calcolo di questi modelli di fondo, " lui dice.
Come governo, attività commerciale, e gli utenti personali fanno sempre più affidamento su Internet per le loro operazioni quotidiane, mantenere la sicurezza informatica rimarrà un compito essenziale per i ricercatori e i ricercatori affermano che il supercalcolo è una risorsa non sfruttata che può aiutare.
Questa storia è stata ripubblicata per gentile concessione di MIT News (web.mit.edu/newsoffice/), un popolare sito che copre notizie sulla ricerca del MIT, innovazione e didattica.