Herramienta de fuentes abiertas de Adobe para la investigación de anomalías



El proyecto 1-Quit Anomaly Store (OSAS) empaqueta algoritmos de aprendizaje automático en un contenedor Docker para encontrar anomalías en los datos de registro de seguridad.

Adobe ha lanzado un proyecto de código abierto para detectar y clasificar anomalías en los datos de registro de seguridad utilizando una herramienta que, según la compañía, es fácil de ejecutar y de modificar.

A person-End Anomaly Shop (OSAS) es una herramienta de aprendizaje automático (ML) de código abierto que puede agregar estructura a los datos de registro mediante la generación de etiquetas para diferentes tipos de datos y luego usar esos datos como entradas para los algoritmos de clasificación. El enfoque resuelve varios problemas de ML, como la escasez de datos y el sobreajuste, al tiempo que brinda a los analistas de seguridad una vista macro de los datos de registro que permite un análisis más fácil, afirma el equipo de inteligencia de seguridad de Adobe en un documento técnico sobre su enfoque.

El proyecto de computer software permite a los equipos de seguridad identificar rápidamente qué características, o combinaciones de características, brindan el mayor beneficio en términos de análisis en un conjunto de datos en particular, dijo el equipo de inteligencia de seguridad de Adobe a Darkish Looking through en una entrevista por correo electrónico.

«Se podría considerar que encontrar anomalías es algo trivial desde la perspectiva computacional», dijeron. «Sin embargo, poder decir por qué algo es una anomalía es una historia completamente diferente. OSAS es útil para identificar por qué (un evento se considera) una anomalía».

El proyecto 1-Halt Anomaly Shop proporciona a los analistas e investigadores de seguridad una forma de analizar rápidamente los registros de seguridad utilizando datos etiquetados, incluso cuando el archivo de registro de seguridad tiene una variedad de tipos de eventos, el grupo de Adobe declarado en una publicación de website. El proyecto, disponible en GitHub, crea un contenedor Docker que ejecuta el motor de búsqueda Elasticsearch, el indexador Logstash y el front-conclusion de Kibana Website, una combinación conocida como pila ELK, mientras que la aplicación ML está escrita en Python.

El sistema etiqueta los eventos con una variedad de etiquetas, indicando, por ejemplo, si la anomalía es única, si un puerto, proceso o ruta en certain es raro y si el evento se conecta a una IP pública o al host area.

«Hay mucha investigación y documentos técnicos sobre ciencia de datos en seguridad, pero pocas herramientas que implementen suggestions de vanguardia que estén disponibles para la comunidad», dijo el equipo de Adobe a Darkish Reading. «Principalmente, el OSAS de código abierto fue una oportunidad para que pusiéramos nuestro trabajo en un marco de un extremo a otro. En segundo lugar, queremos que el OSAS sea lo más sólido y orientado a la seguridad como sea posible y no podemos lograrlo sin el apoyo de la comunidad de seguridad. . «

Adobe no es la única empresa de software package que proporciona a los equipos de seguridad herramientas de aprendizaje automático. A principios de este mes, Microsoft publicó detalles de un proyecto que utiliza el conjunto de datos masivos de tráfico de ataque de la compañía, junto con el marco MITRE ATT & CK, para construir un modelo ML que no solo asigna tácticas de ataque particulares con ciertos grupos, sino que predice el potencial del atacante a continuación. pasos.

La herramienta de Adobe es la más adecuada para trabajar con datos de registro de seguridad, pero puede funcionar en cualquier fuente de datos de registro planos que sigan los mismos patrones, como registros de autenticación, registros de servidor world wide web y registros de acceso, afirmó Adobe.

Después de etiquetar los diversos elementos del archivo de registro, una segunda canalización también asigna puntuaciones basadas en el riesgo a las colecciones de etiquetas.

«El objetivo principal es asignar puntuaciones altas a la actividad sospechosa y puntuaciones bajas a las operaciones normales», afirma el equipo de inteligencia de seguridad en su documento técnico.

La herramienta ML tiene múltiples estrategias para detectar anomalías en los archivos de registro y asignarles puntajes basados ​​en el riesgo. Un enfoque de aprendizaje no supervisado puede encontrar actividades maliciosas que no se descubrirían con modelos de aprendizaje supervisado, pero también es possible que generen más alertas falsas.

«En teoría, los eventos potencialmente maliciosos son un subconjunto del conjunto de anomalías», dijo el equipo de inteligencia de seguridad por correo electrónico. «La detección de estos eventos potencialmente maliciosos por parte de OSAS se puede lograr mediante la creación de un canal de preparación de datos personalizado a través del archivo de configuración».

En las pruebas, el equipo de inteligencia de seguridad utilizó datos benignos de operaciones normales para entrenar el algoritmo ML y luego ingresó un conjunto de datos construido artificialmente para comparar la capacidad de detectar anomalías. El enfoque supervisado tuvo una tasa de detección de casi el 95%, mientras que dos modelos no supervisados ​​funcionaron menos bien, con una puntuación de 63% y 50%.

El equipo de inteligencia de seguridad de Adobe tiene como objetivo recopilar comentarios sobre el proyecto y tal vez crear una colección de canales de análisis previamente entrenados, un «modelo-zoológico», que se pueda distribuir con versiones futuras. El equipo está formado por los ingenieros de seguridad Vivek Malik y Kumar Vikramjeet, el científico de datos Tiberiu Boros y el director técnico Andrei Cotaie.

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dark Looking through, MIT&#39s Technologies Critique, Preferred Science y Wired News. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique