美国态势感知之“大规模网络狩猎”项目

一、BAE Systems 为 DARPA 开发自动化网络防御工具

https://twitter.com/darpa/status/1103394032263270405

“大规模网络狩猎”（CHASE）项目由美国国防部下辖的国防高级研究计划局（DARPA）于2017年启动，旨在开发能够实时检测、表征和抵御网络威胁的数据驱动型工具，以此加强机构内网、跨机构网络和互联网交换点的网络防御能力。

2019年3月，DARPA称，CHASE项目的宗旨是寻求开发自动化工具来检测和明确新的攻击向量，同时收集正确的上下文数据，并在企业内部和企业间传播安全保护措施。

https://www.baesystems.com/en/article/bae-systems-to-develop-automated-cyber-defense-tools-for-darpa

图片来自外媒。

2018年8月，BAE Systems公司官网消息称，美国国防高级研究计划局(DARPA)已选择该公司开发数据驱动的网络搜索工具，用于检测和分析网络威胁，以帮助保护超大型企业网络。该项目第一、二、三阶段的合同价值约为520万美元。

BAE Systems称，通过结合先进的机器学习和网络攻击建模，其独特解决方案旨在自动检测和击败目前可能未被检测到的高级网络威胁。

由于大多数当前工具无法提供充分保护企业网络所需的规模和处理速度，DARPA的大规模网络狩猎(CHASE)计划的目标是开发、演示和评估新的自动化网络防御工具，以供内部使用并跨越这些类型的网络。BAE Systems的解决方案旨在通过自动检测和击败目前可能未被检测到的高级网络威胁来满足这一关键需求，从而能够使用现有存储和现有资源更好地防御商业网络。该技术还可用于帮助保护政府和军事网络。

“如今，许多企业网络中的高级网络攻击在大量网络数据中完全被忽视，或者它们需要专家团队进行密集的手动分析，” BAE Systems公司表示，“我们的技术旨在缓解资源限制，积极寻找逃避安全措施的网络威胁，增强这些网络的集体网络防御。”

BAE Systems在CHASE计划上的努力建立在公司之前为DARPA、美国陆军和美国海军在实时、基于网络防御的异常检测、证据驱动的决策制定和相关技术方面所做的工作。该公司在该项目上的分包商和研究合作伙伴包括 Digital Operatives等。BAE Systems为该计划所做的工作在弗吉尼亚州的阿灵顿进行。

BAE Systems官网消息称，该公司的网络技术研发重点领域包括以下几项：

平台网络弹性

BAE Systems的网络技术研发部门已经从传统的静态“纵深防御”技术转向更敏捷、响应更灵敏的深度弹性方法，使用自适应检测和防御技术来领先于不断变化的威胁和入侵。这些先进的深度弹性解决方案在网络和非传统网络环境中的网络攻击预测、检测、自动化和控制方面创造了更大的弹性，并包括军事和商业平台。BAE Systems的下一代人工智能 (AI) 算法在网络攻击面执行动态特征提取、模式分类和推理。这种方法提高了当今和未来关键任务系统的网络弹性和网络安全。

平台网络效应

BAE Systems的FAST Labs网络技术研发部门用“通过网络空间力量”的开创性工具和技术，支持美国作战和情报行动中使用的各种平台，例如陆地、空中、海上、网络空间及其他平台。这些网络空间情报、监视和侦察(ISR)技术通过聚合和分析网络周边的刺激响应数据，实现了“不透明网络的映射”。此外还利用了BAE Systems在自动化逆向工程和网络武器开发方面的经验。这为快速、按需生产可用于进攻性和防御性军事任务的定制网络武器奠定了基础。

认知网络

认知网络将BAE Systems在进攻性和防御性网络行动方面的知识与在第三波AI方面的经验相结合，创新并提供“以攻击速度做出响应”的网络技术。这些技术可帮助网络士兵和安全人员在对手的 OODA环路内作战，提供更高水平的网络任务保障。BAE Systems还开发下一代高可靠性网络技术，以帮助创建网络物理安全解决方案，例如正在开创包括云计算在内的大数据分析技术，以网络攻击的速度检测和识别小型特征网络入侵。对认知网络的未来目标包括使用可解释的人工智能技术来利用神经网络，以及自主确保网络响应。

复杂的系统和工具

就其本质而言，先进的网络技术结合了复杂系统和工具的持续流动，可在不同点和不同情况下使用，以克服网络冲突。BAE Systems现在呼吁的其中一些更具建设性的内容包括：

自动二进制逆向工程，用于快速发现嵌入式软件中的安全漏洞；

基于语言的安全技术，提高了根据上下文、语义和语法挖掘大量数据的能力；

嵌入式网络技术，用于芯片和板级入侵检测和响应，可深度保护嵌入式计算设备；

自动化网络情报收集和分析，使用第三波AI进行主动、实时的恶意软件检测和响应。

此外，BAE Systems的网络战专业人员现在正在开发几种新的尖端工具，包括预测武器效果、额外的逆向工程解决方案、供应链检查和补救技术等。

二、DARPA 和 BAE Systems 开发一种新的人工智能网络安全技术原型

https://warriormaven.com/cyber/darpa-prototypes-new-ai-enabled-breakthrough-cyberattack-hunting-technology

2019年5月，外媒报道称，美国国防部高级计划研究局(DARPA)和 BAE Systems正在设计一种新的人工智能网络安全技术原型，以对抗新一波高度复杂的网络攻击。

该程序称为大规模网络狩猎 (CHASE)，它使用计算机自动化、高级算法和新的处理速度来实时跟踪大量数据，帮助安全人员锁定那些采用高级别黑客技术且隐藏在大量数据流中的网络攻击。

DARPA 将这项技术解释为“自适应数据收集”，能够通过筛选人类无法“追踪”的大量信息来进行实时调查。

BAE Systems表示，这些先进技术的潜在前景非常重要，因为在目前状况下，由于缺少足够的存储和内存，有近80%隐藏在大型企业网络中的非法数据没有被检测出。

“网络搜索团队目前负担过重，只能查看使用过滤器收集的一小部分数据。高级黑客利用了这一点。”该公司首席科学家汉密尔顿(Sam Hamilton)指出，这些高级黑客已完全掌握了当今最强的网络防御链，且正在对此进行破解。

DARPA去年发布的CHASE Broad Agency公告强调了这一挑战，并称大型企业网络产生的数据超过了可用存储。DARPA写道：“分布式数据库中存储的网络数据比例仍然超过了分析能力。拟议的研究应侧重于动态方法，通过在正确的时间从正确的设备中提取正确的数据来加速网络搜索。”

汉密尔顿进一步指出，越来越复杂的对手正在开发隐藏攻击“足迹”的方法，或者将它们编织到不太可能被网络防御者标记为高优先级的数据流中。而CHASE使用“对抗性”机器学习；机器学习的目的是建立自动化，通过识别模式、将事物置于上下文中并将新数据与非常大的历史数据库进行比较，来组织和分析新信息。

DARPA称，作为该技术的一部分，新兴的计算机自动化方法也将用于“传播保护措施”。

该计划目前处于三阶段过程的第一阶段，旨在在大约三年内将一种作战技术引入美国军事部门，前提是技术适当成熟。

汉密尔顿称：“我们使用先进的建模技术来检测和击败目前在大型企业网络中未被检测到的网络威胁。”安全人员通常将数据流分为高优先级和低优先级，因为他们被迫留下大量被视为低优先级的流量，不进行调查。汉密尔顿说，CHASE是用来追踪通常不被标记为高优先级的攻击路径的。“由于海量数据存储需求，确认此类攻击或追溯其影响所需的详细信息很少长期存储以供潜在取证。”

这项早期工作旨在利用人工智能机器学习的主要优势，即计算机自动化可以处理成倍增加的信息量，同时也可以将数据放在适当的上下文中。这至少部分是通过使用算法来分析数据实现的——有时以毫秒为单位。

汉密尔顿说：“机器学习动态的重新配置传感器部署，所以可以捕捉到更多的细节”。这一概念不仅要挫败常用的恶意软件、网络钓鱼和拒绝服务攻击，还要挫败更复杂、更复杂的攻击。而“高级恶意软件可能是一个隐藏在计算机内存或路由器中的程序。”

三、CHASE项目进展

2021年5月，DARPA发布了2022财年预算申请书。该申请书表明，在2021财年内，CHASE项目将建立企业级的威胁检测、威胁表征和数据规划反馈循环，开发能根据威胁表征结果来调整传感器馈送内容的工具，制定新的数据留存策略，并量化跨机构全局威胁检测准确度对数据策略的依赖性。在2022财年，CHASE项目的主要工作是开发用于自动生成网络报告的分析师接口，开发和演示网络行动风险量化技术，以及整合威胁检测、数据留存和全局分析方法。

图片来自外媒。

四、BAE简介

BAE Systems通称英国宇航系统公司，是一家总部设在英国伦敦的跨国军火工业与航空太空设备公司，以英国宇航为主体于1999年与英国通用电气子公司马可尼电子系统合并，名称由英国宇航首字母缩略字“BAE”和马可尼电子系统的“Systems”组合而成；是英国最大的航空航天企业和最大的导弹制造企业，同时也是西欧最大的航空制造企业。主要从事军用飞机、民用飞机、导弹、卫星、电子设备、仪表与测试设备等及有关武器系统的研制，几乎垄断了全英国军用飞机、航天器和战术导弹的研制与生产。

（来源：综合外媒等。本文参考内容均来源于网络，仅供读者了解和掌握相关情况参考，不用于任何商业用途。侵删）