美国国防部高级研究计划局(DARPA)正在进行一项雄心勃勃的研究项目,其目标是能够从大量实时数据中检测内部威胁和行为。
上周,DARPA在实现这个项目的潜力方面迈出了一大步多尺度异常检测该公司选择雷神公司帮助进一步开发。
更多关于先进技术工作:7个高科技项目想要向你讨教
根据雷神公司的说法,为了建立更好地检测异常行为的算法,ADAMS项目将使用由雷神公司的SureView端点审计和调查软件。雷神公司表示,“SureView可以监控离线移动笔记本电脑,并检测通常隐藏在加密流量或文件中的威胁。策略平台将它们整合在一起,并在仪表板上显示所有企业活动。”
ADAMS研究人员的具体目标是在一个值得信任的内部人员“转向”并开始实施恶意行为后不久检测出异常行为。与之前规模和范围有限的内部威胁研究项目不同,ADAMS将利用在实际操作环境中观察到的大型计算机终端用户的大量数据集。”
在谈到ADAMS项目时,DARPA引用了2005年11月陆军精神病学家尼达尔·哈桑少校在德克萨斯州胡德堡士兵准备中心对士兵的攻击。13人死亡,43人受伤。
来自DARPA: ADAMS在这个案例中要解决的问题是,及时发现哈桑少校的异常行为,并提醒适当的当局,他们可以在事件发生前进行干预。这个问题特别困难,因为需要分析的数据数量惊人。例如,胡德堡大约有65000名员工。在一些简单的假设下,我们可以表明,收集一年的数据将得到一个包含1495万个节点之间大约46.80亿个链接的图表。目前还没有成熟的技术来检测这种规模的数据集的异常,以可接受的假阳性率。”
根据DARPA的说法:“我们收集了大量的数据用来分析灾难——在灾难发生之后。然而,在这些领域中,我们没有技术来主动利用数据来发现正在形成的问题。在这种情况下,我们被严格限制使用数据反应或法医调查事件后的事实或解决从偶然的人类观察得出的具体问题。ADAMS的目标是通过开发自动支持主动使用收集的大量数据集的技术来纠正这种情况。”
亚当斯项目不是唯一的内幕威胁研究Darpa正在进行中。去年8月,它推出了一个发展项目,目标是让安全人员迅速检测和停止网络内部人士窃取或分配军事或政府信息。被称为网络内部威胁(CINDER)计划,它希望携带DARPA代表新的方法来检测支持政府和军事利益系统和网络中的反馈目标所进行的持续活动。煤渣的目标是大大提高了在政府和军事利益网络中未被检测到的对手的威胁,妨碍了对手的准确性,速率和速度。
“CINDER的前提是,大多数系统和网络已经被各种类型和类别的对手破坏。这些敌人已经在从事看似合法的活动,但实际上却在支持敌人的任务。因此,该项目并不专注于入侵防御,而是寻求在其生命周期的不同时刻以极高的信心识别正在进行的任务,没有错误警报。”
在Twitter上关注Michael Cooney:nwwlayer8
第8层额外
查看这些其他热门故事: