Lorsqu’ils lancent une attaque contre une organisation, les cybercriminels peuvent être confrontés à des systèmes défensifs relevant à la fois d’individus et de machines.
La partie humaine correspond aux analystes de sécurité qui scrutent les journaux du serveur et identifient les anomalies liées à des intentions malveillantes. La partie machine consiste en une analyse de données exécutée par des systèmes d’apprentissage non supervisés.
En particulier, le regroupement des données (clustering) avec un algorithme d’apprentissage non supervisé peut constituer un moyen efficace de concentrer l’attention de l’analyste sur les points de données représentatifs de classes d’activités plus vastes. Ces systèmes excellent à traiter de grandes quantités d’informations et à identifier de nouvelles corrélations, mais peuvent aussi produire un grand nombre de fausses alertes. À l’inverse, les analystes humains discernent avec précision les formes existantes ou nouvelles d’activités malveillantes, mais sont incapables de gérer de grandes quantités d’informations.
Pour relever ces défis, les auteurs ont effectué une analyse de sécurité des approches humaines et informatiques permettant de détecter les attaques connues et potentiellement inconnues. Ils ont utilisé les attaques contre un site Web réel pour explorer les forces et les limites des deux approches et les possibilités de les combiner. Ils ont comparé les fonctionnalités les plus utiles pour les analystes humains et pour un système automatisé de regroupement des données.
Les humains excellent à reconnaître les modèles récurrents et les anomalies, ce qui leur permet de détecter des comportements inhabituels et inédits. Les systèmes automatisés peuvent potentiellement aider les analystes humains en :
- Réduisant au minimum le nombre d’activités suspectes sur lesquelles les humains doivent enquêter.
- Améliorant la qualité et l’exhaustivité des données enregistrées.
- Formant de manière accrue des analystes afin qu’ils délaissent les préjugés passés et examinent de nouveaux comportements.
- Tenant un historique du trafic permettant à un analyste de comparer un bloc sélectionné de comportements inhabituels à des modèles de trafic normaux.
L’analyse humaine et les outils automatisés servent des objectifs complémentaires, et les systèmes de détection hybrides pourraient fournir le meilleur des mondes humain et machine en matière de détection d’attaque.
Citer: Sabottke, C. ,Chen, D., Layman, L. and Dumitras, T (2019). How to trick the Borg: threat models against manual and automated techniques for detecting network attacks. Computer & Security, 81, 25-40.
Source : https://www.sciencedirect.com/science/article/pii/S0167404818311283