利用压缩网络流量检测网络攻击的方法

随着网络安全成为美国最关心的问题之一，政府和企业正在花费更多的时间和金钱来寻找防御攻击的方法。然而，也许有一种方法可以提高网络安全性。

网络安全系统使用分布式网络入侵检测，允许少数训练有素的分析师同时监控多个网络，通过规模经济降低成本，并更有效地利用有限的网络安全专业知识;然而，这种方法需要将数据从被防御网络上的网络入侵检测传感器传输到中央分析服务器。研究人员表示，传输传感器捕获的所有数据需要太多的带宽。

因此，大多数分布式网络入侵检测系统只向安全分析人员发送警报或活动摘要。只有摘要，网络攻击可能无法被发现，因为分析师没有足够的信息来了解网络活动，或者可能浪费时间去追踪误报。

在第10届复杂性、信息学和控制论国际多会议上，美国陆军作战能力发展司令部陆军研究实验室(ARL)、陆军企业研究实验室和陶森大学的研究人员希望确定如何在不失去检测和调查恶意活动能力的情况下尽可能压缩网络流量。

根据恶意网络活动会在早期表现出其恶意的理论，研究人员开发了一种工具，旨在在发送了一定数量的信息后停止传输流量。对压缩后的网络流量进行分析，并与对原始网络流量进行的分析进行比较。

正如所怀疑的那样，研究人员发现，网络攻击往往在传播过程的早期就表现出恶意。当团队在稍后的传输过程中发现恶意活动时，它通常不是网络流中第一次出现恶意活动。

ARL研究员西德尼·史密斯(Sidney Smith)表示:“这种策略在减少从传感器发送到中央分析系统的网络流量方面应该是有效的。”“最终，这一战略可用于提高陆军网络的可靠性和安全性。”

下一阶段，研究人员希望将该技术与网络分类和无损压缩技术相结合，将需要传输到中央分析系统的流量减少到原始流量的10%以下，同时丢失不超过1%的网络安全警报。

“入侵检测的未来在于机器学习和其他人工智能技术，”史密斯说。“然而，这些技术中的许多都过于资源密集，无法在远程传感器上运行，而且所有这些技术都需要大量数据。结合我们的研究技术的网络安全系统将允许收集最有可能是恶意的数据进行进一步分析。”

本内容最初出现在ISSSource.com。ISSSource是CFE Media的内容合作伙伴。Chris Vavra编辑，CFE Media制作编辑，cvavra@cfemedia.com。

原创内容可在www.isssource.com。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。