全讯网新2：新工具可以通过自动化数据分类来减少安全分析师的工作负载

 在网络攻击期间，安全分析师专注于回答四个关键问题：网络发生了什么，影响是什么，为什么会发生，以及应该做些什么?虽然分析师在他们的响应中利用了软件和硬件工具的进步，但这些工具无法像人类那样回答这些问题。

现在，宾夕法尼亚州立大学和美国陆军研究办公室的研究人员开发出一种技术，可以显着提高安全分析师的表现。他们的工具，一个有限状态机 - 一个可用于模拟顺序逻辑的计算模型 - 被构建用于对分析师经常处理的重复任务进行自动数据分类。

“人类分析师反复进行了大量的分析工作，”宾夕法尼亚州立大学信息科学与技术学院网络安全教授，该项目研究员Ray Liu G. Tronzo博士说。“如果智能代理可以帮助重复工作，那么分析师可以花更多的时间来应对以前看不见的网络攻击情况。”

“网络防御始终具有挑战性，因为对手总是尽力将自己的行为隐藏在大量的正常活动中，”陆军研究办公室计算科学部门负责人Cliff Wang补充说，他是战斗能力发展司令部的一员。陆军研究实验室。“随着网络安全对陆军作战越来越重要，探测和分析模糊和异常行为的能力至关重要，特别是在早期侦察阶段。”

根据Liu及其合作者的说法，网络分析中一个耗时的阶段是数据分类，其中涉及分析师检查各种数据源的详细信息，如入侵系统警报和防火墙日志，清除误报，然后对相关指标进行分组这样不同的攻击活动就可以相互分离。他们的研究旨在通过自动化这一过程来减少分析师的工作量。

在他们的研究中，研究人员追踪了29名专业安全分析师的394项数据分类操作。然后，他们利用有限状态机识别超过2300万个防火墙日志条目中的攻击路径模式，以及从拥有5,000个主机的48小时网络监控中收集的35,000多个入侵警报。

“如果之前分析过相同类型的攻击路径，那么识别多个异构数据源中的攻击路径对于安全分析师来说是一项重复性任务，而且这种重复性任务通常非常耗时，”Liu说。“此外，我们对安全分析师的采访显示，他们可能会因分析大量与安全相关的事件以及由时间压力引起的焦虑而导致疲劳。”

该技术结合了人工数据分类操作的非侵入式跟踪，形式约束图和操作轨迹的数据挖掘，并利用计算机科学和认知科学中的原理。有限状态机在操作轨迹之外被“挖掘”。

“宾夕法尼亚州立大学的研究人员一直在引领研究工作，应用统计方法，人工智能和机器学习来识别难以发现的低级别入侵活动，并推动该领域的国家发展，”王说。

该研究“从专家学习经验：迈向自动化网络安全数据分类”，由美国陆军研究办公室资助，并发表在2019年3月的IEEE Systems Journal上。