Détection des anomalies de cybersécurité par le groupe d’analyse de l’armée américaine 1000 fois plus rapide avec moins de faux positifs
Le groupe d’analyse de l’armée américaine (AAG) fournit des services d’analyse pour diverses opérations et fonctions organisationnelles, y compris la cybersécurité. AAG a signé un accord de recherche et développement coopératif (CRADA) avec Entanglement, Inc. et son partenaire stratégique Groq, Inc., une société américaine de semi-conducteurs, afin de déterminer une capacité optimale de détection des anomalies de cybersécurité.
AAG a publié un rapport de validation confirmant la solution d’Entanglement AI qui résout la détection des anomalies de cybersécurité trois fois plus rapidement que les méthodes traditionnelles avec moins de faux positifs. Dans cet article, je vais dévoiler les détails derrière ces résultats spectaculaires.
Groq
Méthodes de détection des cyber-anomalies
Toutes les cyberattaques, qu’elles soient de type zero-day ou ransomware, partagent un fil conducteur : les cyber-anomalies. Une cyber-anomalie est quelque chose qui sort de l’ordinaire, une valeur aberrante, comme des connexions excessives, des pics de trafic ou un nombre considérable de connexions à distance.
Les trois principales formes de détection d’anomalies sont : non supervisée, supervisée et semi-supervisée. Les analystes de la sécurité utilisent chaque approche à des degrés divers d’efficacité dans les applications de cybersécurité.
La détection d’anomalies non supervisée utilise un ensemble de données de test non étiqueté. Cela implique la formation d’un modèle d’apprentissage automatique (ML) pour identifier un comportement normal à l’aide d’un ensemble de données non étiqueté. L’hypothèse est que la plupart des instances de l’ensemble de données seront normales. L’algorithme de détection d’anomalies détecte les instances qui semblent ne pas correspondre à l’ensemble de données. Les algorithmes de détection d’anomalies non supervisés comprennent les auto-encodeurs, les K-means, la modélisation de mélange gaussien (GMM), l’analyse basée sur des tests d’hypothèse et Analyse des composants principaux (PCA).
La détection supervisée d’anomalies utilise un ensemble de données avec un ensemble d’étiquettes « normales » et « anormales » et un algorithme de classification formé.
ML construit un modèle prédictif à partir d’un ensemble d’apprentissage étiqueté avec des données normales et anormales. Les méthodes supervisées comprennent les réseaux bayésiens, les k plus proches voisins, les arbres de décision, les réseaux de neurones supervisés et les machines à vecteurs de support (SVM).
Les techniques de détection d’anomalies semi-supervisées utilisent une combinaison d’un petit ensemble de données étiquetées et d’une grande quantité de données non étiquetées pour la formation. Ce modèle détecte ensuite les anomalies en testant la probabilité que le modèle génère une instance rencontrée.
Décret exécutif pour adopter la sécurité zéro confiance
En mai 2021, le président Biden a publié un décret ordonnant à toutes les agences fédérales d’adopter une sécurité zéro confiance. Un mois plus tard, en juin 2021, Entanglement, Inc. et son partenaire stratégique Groq, Inc., une société américaine de semi-conducteurs, ont fait une offre d’assistance gratuite pour détecter et résoudre les anomalies à l’appui d’un environnement de confiance zéro.
L’objectif du projet était de surveiller en permanence une architecture de sécurité de confiance zéro, nécessitant un algorithme de détection d’anomalies capable de contrôler en permanence tous les utilisateurs sur un réseau et les actions. Un cadre algorithmique similaire sera adapté pour démontrer les systèmes de détection d’intrusion (IDS) et la sensibilisation étendue aux menaces aux points d’extrémité du réseau.
Le projet s’est concentré sur trois domaines : l’amélioration de la fonctionnalité et des performances de l’encodeur automatique par rapport aux systèmes existants, l’accélération de la fonctionnalité de réseau antagoniste génératif (GAN) et l’intégration d’un algorithme SVM d’optimisation d’inspiration quantique à l’aide de l’optimisation binaire quadratique sans contrainte (QUBO).
Détection des anomalies de cybersécurité plus rapide que les méthodes traditionnelles
Les travaux d’Entanglement et de Groq dans le cadre de la CRADA ont démontré une détection des anomalies de cybersécurité plus rapide que les méthodes traditionnelles et de meilleures performances mesurées par les paramètres de performance clés (KPP). Les métriques couvertes par le KPP concernaient le nombre total d’inférences par seconde, le pourcentage de menaces détectées, l’exactitude, le rappel, la précision, d’autres métriques basées sur la matrice de confusion et l’aire sous la courbe (AUC).
Les efforts précédents d’AAG ont détecté 120 000 inférences par seconde, la référence et la norme réalisables à l’aide d’un modèle QUBO.
En six mois, Entanglement a atteint un taux de détection d’anomalies de 72 000 000 d’inférences par seconde et a démontré le potentiel d’atteindre 120 000 000 d’inférences par seconde dans un vaste domaine de systèmes de traitement de données.
Les cas de validation ont utilisé les ensembles de données KDD Cup 1999 (KDD99) et CICIDS2017.
La sortie calculée démontrée pour la solution Autoencoder et GAN a été très efficace pour déterminer les anomalies. Le QUBO SVM a été construit sous une forme prête pour le quantum et était également efficace pour la détection des anomalies.
Emballer
L’enchevêtrement a fourni une capacité de détection des anomalies de cybersécurité considérablement plus rapide et plus précise – avec beaucoup moins de faux positifs – que la technologie traditionnelle. La solution Entanglement and Groq a fourni une détection d’anomalies à 120 millions d’inférences par seconde, trois ordres de grandeur plus rapide que toute autre technologie.
Ce qui est le plus surprenant, c’est qu’Entanglement utilisait des algorithmes quantiques, mais il n’y avait pas d’ordinateur quantique qui pouvait fonctionner aussi vite que GroqChip. La réponse réside dans la technologie de base Groq, une conception de circuit numérique spécialement conçue avec des degrés élevés de parallélisme, ce qui permet de résoudre une gamme de problèmes tels que les modèles de réseaux neuronaux profonds et les problèmes d’optimisation binaire quadratique sans contrainte (QUBO).
Nous savons depuis un certain temps que la réalisation des avantages de l’IA, de l’infrastructure innovante et de l’intelligence prédictive nécessitera une architecture de traitement beaucoup plus simple et plus évolutive qu’une solution héritée.
Groq a conçu une puce qui offre des performances prévisibles et reproductibles avec une faible latence et un débit élevé sur l’ensemble du système, appelée Tensor Streaming Processor (TSP). La nouvelle architecture de traitement plus simple est conçue spécifiquement pour les exigences de performances des applications ML et d’autres charges de travail gourmandes en ressources de calcul.
Groq compte désormais plusieurs clients dans tous les secteurs verticaux qui ont utilisé leurs solutions d’accélération pour obtenir des améliorations de performances de plusieurs ordres de grandeur. J’ai hâte de partager ces histoires avec vous à l’avenir.
Moor Insights & Strategy, comme toutes les sociétés d’analyse de l’industrie de la recherche et de la technologie, fournit ou a fourni des services payants aux entreprises technologiques. Ces services comprennent la recherche, l’analyse, le conseil, le conseil, l’analyse comparative, le jumelage d’acquisitions et le parrainage de conférences. La société a eu ou a actuellement des relations commerciales rémunérées avec 88, Accenture, A10 Networks, Advanced Micro Devices, Amazon, Amazon Web Services, Ambient Scientific, Anuta Networks, Applied Brain Research, Applied Micro, Apstra, Arm, Aruba Networks (désormais HPE ), Atom Computing, AT&T, Aura, Automation Anywhere, AWS, A-10 Strategies, Bitfusion, Blaize, Box, Broadcom, , C3.AI, Calix, Campfire, Cisco Systems, Clear Software, Cloudera, Clumio, Cognitive Systems, CompuCom , Cradlepoint, CyberArk, Dell, Dell EMC, Dell Technologies, Diablo Technologies, Dialogue Group, Digital Optics, Dreamium Labs, D-Wave, Echelon, Ericsson, Extreme Networks, Five9, Flex, Foundries.io, Foxconn, Frame (désormais VMware ), Fujitsu, Gen Z Consortium, Glue Networks, GlobalFoundries, Revolve (maintenant Google), Google Cloud, Graphcore, Groq, Hiregenics, Hotwire Global, HP Inc., Hewlett Packard Enterprise, Honeywell, Huawei Technologies, IBM, Infinidat, Infosys, Inseego, IonQ, IonVR, Inseego, Infosys, Infiot, Intel, Interdigi tal, Jabil Circuit, Keysight, Konica Minolta, Lattice Semiconductor, Lenovo, Linux Foundation, Lightbits Labs, LogicMonitor, Luminar, MapBox, Marvell Technology, Mavenir, Marseille Inc, Mayfair Equity, Meraki (Cisco), Merck KGaA, Mesophere, Micron Technology , Microsoft, MiTEL, Mojo Networks, MongoDB, National Instruments, Neat, NetApp, Nightwatch, NOKIA (Alcatel-Lucent), Nortek, Novumind, NVIDIA, Nutanix, Nuvia (maintenant Qualcomm), onsemi, ONUG, OpenStack Foundation, Oracle, Palo Alto Networks, Panasas, Peraso, Pexip, Pixelworks, Plume Design, PlusAI, Poly (anciennement Plantronics), Portworx, Pure Storage, Qualcomm, Quantinuum, Rackspace, Rambus, Rayvolt E-Bikes, Red Hat, Renesas, Residio, Samsung Electronics, Samsung Semi, SAP, SAS, Scale Computing, Schneider Electric, SiFive, Silver Peak (maintenant Aruba-HPE), SkyWorks, SONY Optical Storage, Splunk, Springpath (maintenant Cisco), Spirent, Splunk, Sprint (maintenant T-Mobile), Stratus Technologies, Symantec, Synaptics, Syniverse, Synopsys, Tanium, Telesign, TE Co nnectivity, TensTorrent, Tobii Technology, Teradata,T-Mobile, Treasure Data, Twitter, Unity Technologies, UiPath, Verizon Communications, VAST Data, Ventana Micro Systems, Vidyo, VMware, Wave Computing, Wellsmith, Xilinx, Zayo, Zebra, Zededa, Zendesk, Zoho, Zoom et Zscaler. Patrick Moorhead, fondateur, PDG et analyste en chef de Moor Insights & Strategy, est un investisseur dans dMY Technology Group Inc. VI, Dreamium Labs, Groq, Luminar Technologies, MemryX et Movandi.