Durante un attacco informatico, gli analisti della sicurezza si concentrano sulla risposta a quattro domande chiave:cosa è successo alla rete, qual è stato l'impatto, perchè è successo, e cosa si dovrebbe fare? E mentre gli analisti utilizzano i progressi negli strumenti software e hardware nella loro risposta, gli strumenti non sono in grado di rispondere a queste domande così come possono farlo gli esseri umani.

Ora, i ricercatori della Penn State e dell'U.S. Army Research Office hanno sviluppato una tecnica che potrebbe migliorare significativamente le prestazioni degli analisti della sicurezza. Il loro strumento, una macchina a stati finiti, un modello computazionale che può essere utilizzato per simulare la logica sequenziale, è stata costruita per condurre il triage automatico dei dati di attività ripetitive che gli analisti gestiscono regolarmente.

"Una quantità sostanziale di lavoro di analisi viene ripetutamente svolta da analisti umani, " disse Peng Liu, Raimondo G. Tronzo, Professore M.D. di Cybersecurity al College of Information Sciences and Technology di Penn State e investigatore del progetto. "Se un agente intelligente può aiutare a fare il lavoro ripetuto, quindi gli analisti possono dedicare più tempo a gestire situazioni di attacco informatico mai viste prima".

"La difesa informatica è sempre una sfida a causa del fatto che gli avversari fanno sempre del loro meglio per nascondere i loro atti tra un'enorme quantità di normali attività, " ha aggiunto Cliff Wang, capo divisione, Scienze informatiche, Ufficio di ricerca dell'esercito, un elemento del laboratorio di ricerca dell'esercito del comando di sviluppo delle capacità di combattimento. "Poiché la sicurezza informatica diventa sempre più importante per le operazioni dell'esercito, la capacità di rilevare e analizzare comportamenti oscuri e anormali è essenziale, soprattutto durante la prima fase di ricognizione."

Secondo Liu e i suoi collaboratori, una fase che richiede tempo nell'analisi informatica è il triage dei dati, che coinvolge un analista che esamina i dettagli di varie fonti di dati come avvisi di sistemi di intrusione e log del firewall, eliminare i falsi positivi, e quindi raggruppare i relativi indicatori in modo che le diverse campagne di attacco possano essere separate l'una dall'altra. La loro ricerca mira a ridurre i carichi di lavoro degli analisti automatizzando questo processo.

Nel loro studio, i ricercatori hanno tracciato 394 operazioni di triage dei dati di 29 analisti di sicurezza professionisti. Quindi, hanno utilizzato le macchine a stati finiti per riconoscere i modelli di percorso di attacco in più di 23 milioni di voci di registro del firewall e più di 35, 000 avvisi di intrusione raccolti da un monitoraggio di 48 ore di una rete con 5, 000 ospiti.

"L'identificazione dei percorsi di attacco in più origini dati eterogenee è un'attività ripetitiva per gli analisti della sicurezza se lo stesso tipo di percorso di attacco è stato analizzato in precedenza, e tali compiti ripetitivi richiedono spesso molto tempo, " disse Liu. "Inoltre, le nostre interviste con gli analisti della sicurezza hanno rivelato che potrebbero essere sostanzialmente influenzati dall'affaticamento causato dall'analisi di un numero enorme di eventi relativi alla sicurezza, e l'ansia causata dalla pressione del tempo."

La tecnica combina il tracciamento non intrusivo delle operazioni di triage dei dati umani, grafici dei vincoli formali, e data mining di tracce operative, e sfrutta i principi sia dell'informatica che della scienza cognitiva. Le macchine a stati finiti vengono "estratte" dalle tracce operative.

"I ricercatori della Penn State hanno guidato gli sforzi di ricerca nell'applicazione di metodi statistici, intelligenza artificiale e apprendimento automatico per identificare difficili da trovare, attività di intrusione di basso livello, e fece avanzare lo stato in questo campo, " ha detto Wang.

La ricerca, "Imparare dall'esperienza degli esperti:verso il triage automatizzato dei dati sulla sicurezza informatica, " è stato finanziato dall'Ufficio di ricerca dell'esercito degli Stati Uniti e pubblicato nel numero di marzo 2019 di IEEE Systems Journal .