Application des techniques d’IA dans la cybersécurité, la lutte contre le terrorisme et la sécurité internationale

Un élément essentiel de la modélisation des prévisions du NTEWS est l’accessibilité de ses conclusions aux responsables.

« Le cœur même de notre travail, dès le début, a été cette idée que nous devons être capables de proposer des prédictions que nous pouvons expliquer aux décideurs politiques, de préférence dans un pitch de style ascenseur », a déclaré Subrahmanian.

L’équipe du projet NTEWS – qui comprend également Priyanka Amin, étudiante de troisième année en informatique au Weinberg College of Arts and Sciences de Northwestern, Chongyang Gao, doctorante en informatique, Chiara Pulice, associée de recherche principale au NSAIL, et le consultant Aaron Mannes – tente de prédire à la fois quand les attaques se produiront et ne se produiront pas afin que les ressources puissent être allouées de manière appropriée.

En utilisant des données non classifiées et de source ouverte sur les groupes terroristes recueillies et partagées en collaboration avec des partenaires externes, le système NTEWS générera des prédictions et des conseils sur l’interprétation. NSAIL partagera ensuite les prévisions et les résultats dans des lieux accessibles au public tels que des sites Web ou des articles scientifiques conformément à ses principes de fonctionnement fondamentaux.

PLATO : Prédire la létalité des réseaux terroristes

Les travaux antérieurs sur un système appelé Shaping Terrorist Organisation Network Efficacy (STONE) étudient comment minimiser le nombre d’attaques qu’un réseau terroriste effectuera. Cependant, cela nécessite la capacité de prédire le nombre d’attaques qu’une structure de réseau spécifique effectuera. Le modèle PLATO (Predicting Lethality Analysis of Terrorist Organization) prédit le nombre d’attaques qu’un groupe terroriste effectuera en se basant uniquement sur la structure de son réseau.

« Nous voulons comprendre le lien entre la structure du réseau et la létalité, et avec PLATO, nous sommes capables de le faire », a déclaré Pulice. « En utilisant l’apprentissage automatique et les modèles régresseurs, nous comprenons clairement quelles fonctionnalités du réseau sont les plus importantes, et donc les fonctionnalités que nous pouvons utiliser comme bons prédicteurs de la létalité. »

Fusionnant l’apprentissage automatique avec des techniques issues de la théorie des graphes et de l’analyse des réseaux sociaux, les algorithmes PLATO ont été testés sur des ensembles de données détaillant les relations entre les membres d’Al-Qaïda et l’État islamique (ISIS).

L’équipe PLATO comprend actuellement Gao, Francesco Parisi (Université de Calabre), Pulice et Subrahmanian.

« Ce que nous avons trouvé pour Al-Qaïda et ISIS, c’est que les sous-réseaux opérationnels et la direction des réseaux sont strictement liés à la létalité », a déclaré Pulice. « Si nous opérons sur l’un de ces deux sous-réseaux, intuitivement nous affectons la létalité. »

NCEWS : Gérer les vulnérabilités de l’IA et de la cybersécurité

NSAIL se concentre également sur les problèmes liés à la sécurité de l’information, de la cybersécurité et de la technologie, notamment la gestion des vulnérabilités dans une entreprise, la détection des logiciels malveillants et l’estimation de leur propagation, la gestion des cyberalertes et la prévention du vol de propriété intellectuelle (IP).

Le laboratoire développe un système de modèle de décision appelé Northwestern Cyber ​​​​Early Warning System (NCEWS) pour gérer deux types de cyberattaques – les vulnérabilités connues, auxquelles sont généralement attribués un numéro commun de vulnérabilité et d’exposition (CVE), et les vulnérabilités de jour zéro, qui sont des défauts d’un système ou d’un appareil découverts par des pirates et non encore connus du fournisseur. Environ 20 000 CVE sont divulgués chaque année.

« Ce que nous voulons pouvoir faire, c’est regarder un CVE et demander » Est-ce que cela va jamais être utilisé dans une attaque? « , A déclaré Subrahmanian. « Si ce n’est pas le cas, vous n’avez probablement pas à vous en soucier autant. Nous voulons être en mesure de prendre des informations sur un nouveau CVE et de prédire si cette vulnérabilité va être utilisée dans une attaque et, si oui, va-t-elle être utilisée dans une attaque demain ou dans un mois à partir de demain. Cela a un impact sur la décision que vous prenez sur ce que vous faites avec cette vulnérabilité. Et, bien sûr, vous voulez être en mesure de prédire la gravité de l’attaque. »

Plus tôt le NCEWS peut faire ces prévisions, plus une organisation a de temps pour prendre les mesures appropriées.

Subrahmanian a constaté qu’en moyenne, il faut environ 133 jours entre le moment où une vulnérabilité est connue pour la première fois et le moment où le National Institute of Standards and Technology (NIST) distribue des informations sur ses risques. En outre, il a découvert que 49 % des vulnérabilités sont utilisées dans des attaques avant que le NIST ne mette à jour la base de données nationale des vulnérabilités.

« Si je suis un méchant, je regarde juste ce qui se passe. Je n’ai pas à découvrir mes propres vulnérabilités », a déclaré Subrahmanian. « J’attends que quelqu’un d’autre le découvre, puis je peux construire un exploit. »

S’appuyant sur un système antérieur développé par Subramanian et l’améliorant, le NCEWS utilise un ensemble de prédicteurs et une combinaison de méthodes de langage naturel et d’analyse de réseaux sociaux pour exploiter les discussions en cours sur une vulnérabilité donnée.

« Nous sommes en mesure de générer des scores F1 très élevés pour savoir si une vulnérabilité sera exploitée ou non et raisonnablement bien en termes de moment et de gravité », a déclaré Subrahmanian.

En adaptant un modèle de santé humaine pour la cybersécurité, NSAIL a également développé un modèle appelé DIPS – détecté, infecté, sensible et corrigé – pour prédire à quel point un réseau est susceptible d’être affecté par un nouveau logiciel malveillant. L’équipe a examiné les taux de fausses alarmes pour déterminer quel pourcentage d’alarmes déclenchées par les produits de sécurité sont réellement préoccupantes, si le laboratoire peut prédire quelles alertes sont vraies et quel pourcentage de vraies alarmes seront manquées.

FORGE : Imposer des frais aux voleurs de propriété intellectuelle

Pour relever le défi croissant du vol de propriété intellectuelle, NSAIL développe des projets tels que le Fake Online Repository Generation Engine (FORGE) et WE-FORGE pour générer de fausses versions de documents sensibles dans le but d’imposer des coûts à un attaquant.

« Nous voulons gagner du temps pour le défenseur et frustrer et retarder l’adversaire », a déclaré Subrahmanian. « Si un adversaire ne sait pas que le réseau a des contrefaçons, alors il va passer beaucoup de temps à voler des documents et à exécuter sa conception sur le mauvais. Si l’adversaire sait que l’organisation utilise des contrefaçons, il doit passer beaucoup plus de temps dans le système, ce qui, espérons-le, déclencherait un signal d’alarme.