'n Stelsel om verkeer te ontleed sonder om dit te dekripteer. Hierdie metode word bloot "masjienleer" genoem. Dit het geblyk dat as 'n baie groot volume van verskeie verkeer na die insette van 'n spesiale klassifiseerder gevoer word, die stelsel die aksies van kwaadwillige kode binne geënkripteerde verkeer met 'n baie hoë mate van waarskynlikheid kan opspoor.
Aanlyn bedreigings het verander en slimmer geword. Onlangs het die konsep van aanval en verdediging verander. Die aantal geleenthede op die netwerk het aansienlik toegeneem. Aanvalle het meer gesofistikeerd geword en kuberkrakers het 'n groter reikwydte.
Volgens Cisco-statistieke het aanvallers die afgelope jaar die aantal wanware wat hulle vir hul aktiwiteite gebruik verdriedubbel, of liewer, enkripsie om dit weg te steek. Dit is uit teorie bekend dat die "korrekte" enkripsie-algoritme nie gebreek kan word nie. Om te verstaan wat in die geïnkripteer verkeer versteek is, is dit nodig om dit óf te dekripteer met die kennis van die sleutel, óf probeer om dit te dekripteer deur verskeie truuks te gebruik, of direk te hack, of 'n soort kwesbaarhede in kriptografiese protokolle te gebruik.
'n Foto van die netwerkbedreigings van ons tyd
Masjienleer
Ken die tegnologie persoonlik! Voordat ons praat oor hoe die masjienleer-gebaseerde dekripsietegnologie self werk, is dit nodig om te verstaan hoe neurale netwerktegnologie werk.
Masjienleer is 'n breë onderafdeling van kunsmatige intelligensie wat metodes bestudeer vir die konstruksie van algoritmes wat kan leer. Hierdie wetenskap is daarop gemik om wiskundige modelle te skep om 'n rekenaar te "oplei". Die doel van leer is om iets te voorspel. In menslike begrip noem ons hierdie proses die woord "wysheid". Wysheid manifesteer hom in mense wat nogal lank lewe ('n 2-jarige kind kan nie wys wees nie). Wanneer ons na senior kamerade vir raad wend, gee ons hulle inligting oor die gebeurtenis (invoerdata) en vra hulle vir hulp. Hulle onthou op hul beurt alle situasies uit die lewe wat op een of ander manier verband hou met jou probleem (kennisbasis) en, gebaseer op hierdie kennis (data), gee ons 'n soort voorspelling (raad). Hierdie tipe raad het begin om voorspelling genoem te word omdat die persoon wat die raad gee nie seker weet wat gaan gebeur nie, maar net aanneem. Lewenservaring wys dat 'n persoon reg kan wees, of hy kan verkeerd wees.
Jy moet nie neurale netwerke met die vertakkingsalgoritme (if-else) vergelyk nie. Dit is verskillende dinge en daar is sleutelverskille. Die vertakkingsalgoritme het 'n duidelike "begrip" van wat om te doen. Ek sal met voorbeelde demonstreer.
Taak. Bepaal die remafstand van 'n motor gebaseer op sy fabrikaat en jaar van vervaardiging.
'n Voorbeeld van die vertakkingsalgoritme. As 'n motor handelsmerk 1 is en in 2012 vrygestel is, is sy remafstand 10 meter, anders, as die motor handelsmerk 2 is en in 2011 vrygestel is, ensovoorts.
'n Voorbeeld van 'n neurale netwerk. Ons samel data in oor motorremafstande oor die afgelope 20 jaar. Volgens fabrikaat en jaar stel ons 'n tabel saam van die vorm "maak-jaar van vervaardiging-remafstand". Ons reik hierdie tabel aan die neurale netwerk uit en begin om dit te leer. Opleiding word soos volg uitgevoer: ons voer data na die neurale netwerk, maar sonder 'n rempad. Die neuron probeer om te voorspel wat die remafstand sal wees gebaseer op die tabel wat daarin gelaai is. Voorspel iets en vra die gebruiker "Is ek reg?" Voor die vraag skep sy 'n vierde kolom, die raaikolom. As sy reg is, dan skryf sy 1 in die vierde kolom, as sy verkeerd is, skryf sy 0. Die neurale netwerk beweeg aan na die volgende gebeurtenis (selfs al het dit 'n fout gemaak). Dit is hoe die netwerk leer en wanneer die opleiding voltooi is ('n sekere konvergensiekriterium is bereik), dien ons data in oor die motor waarin ons belangstel en kry uiteindelik 'n antwoord.
Om die vraag oor die konvergensiekriterium te verwyder, sal ek verduidelik dat dit 'n wiskundig afgeleide formule vir statistiek is. 'n Treffende voorbeeld van twee verskillende konvergensieformules. Rooi – binêre konvergensie, blou – normale konvergensie.
Binomiale en normale waarskynlikheidsverdelings
Om dit duideliker te maak, vra die vraag "Wat is die waarskynlikheid om 'n dinosourus te ontmoet?" Hier is 2 moontlike antwoorde. Opsie 1 – baie klein (blou grafiek). Opsie 2 – of 'n vergadering of nie (rooi grafiek).
Natuurlik is 'n rekenaar nie 'n mens nie en dit leer anders. Daar is 2 tipes ysterperd opleiding: gevalgebaseerde leer и deduktiewe leer.
Onderrig volgens presedent is 'n manier van onderrig deur wiskundige wette te gebruik. Wiskundiges versamel statistiektabelle, maak gevolgtrekkings en laai die resultaat in die neurale netwerk - 'n formule vir berekening.
Deduktiewe leer - leer vind geheel en al in die neuron plaas (van data-insameling tot die ontleding daarvan). Hier word 'n tabel gevorm sonder 'n formule, maar met statistiek.
'n Breë oorsig van die tegnologie sal nog 'n paar dosyn artikels neem. Vir eers sal dit genoeg wees vir ons algemene begrip.
Neuroplastisiteit
In biologie is daar so 'n konsep - neuroplastisiteit. Neuroplastisiteit is die vermoë van neurone (breinselle) om "volgens die situasie" op te tree. Byvoorbeeld, 'n persoon wat sy sig verloor het, hoor klanke, ruik en bespeur voorwerpe beter. Dit vind plaas as gevolg van die feit dat die deel van die brein (deel van die neurone) wat verantwoordelik is vir visie sy werk herverdeel na ander funksionaliteit.
’n Treffende voorbeeld van neuroplastisiteit in die lewe is die BrainPort-suigstokkie.
In 2009 het die Universiteit van Wisconsin in Madison die vrystelling van 'n nuwe toestel aangekondig wat die idees van 'n "taalskerm" ontwikkel het - dit is BrainPort genoem. BrainPort werk volgens die volgende algoritme: die videosein word van die kamera na die verwerker gestuur, wat zoom, helderheid en ander prentparameters beheer. Dit skakel ook digitale seine om in elektriese impulse, wat in wese die funksies van die retina oorneem.
BrainPort suigstokkie met bril en kamera
BrainPort by die werk
Dieselfde met 'n rekenaar. As die neurale netwerk 'n verandering in die proses aanvoel, pas dit daarby aan. Dit is die belangrikste voordeel van neurale netwerke in vergelyking met ander algoritmes - outonomie. ’n Soort menslikheid.
Geënkripteerde verkeersanalise
Encrypted Traffic Analytics is deel van die Stealthwatch-stelsel. Stealthwatch is Cisco se toetrede tot oplossings vir sekuriteitsmonitering en -analise wat ondernemingstelemetriedata van bestaande netwerkinfrastruktuur gebruik.
Stealthwatch Enterprise is gebaseer op die Flow Rate License, Flow Collector, Management Console en Flow Sensor gereedskap.
Cisco Stealthwatch-koppelvlak
Die probleem met enkripsie het baie akuut geword as gevolg van die feit dat baie meer verkeer geïnkripteer begin word het. Voorheen was slegs die kode geïnkripteer (meestal), maar nou is alle verkeer geïnkripteer en die skeiding van "skoon" data van virusse het baie moeiliker geword. ’n Treffende voorbeeld is WannaCry, wat Tor gebruik het om sy aanlyn-teenwoordigheid weg te steek.
Visualisering van die groei in verkeerskodering op die netwerk
Enkripsie in makro-ekonomie
Die Encrypted Traffic Analytics (ETA)-stelsel is nodig juis om met geënkripteerde verkeer te werk sonder om dit te dekripteer. Aanvallers is slim en gebruik kripto-weerstandige enkripsie-algoritmes, en om dit te breek is nie net 'n probleem nie, maar ook uiters duur vir organisasies.
Die stelsel werk soos volg. Sommige verkeer kom na die maatskappy. Dit val in TLS (vervoerlaagsekuriteit). Kom ons sê die verkeer is geïnkripteer. Ons probeer 'n aantal vrae beantwoord oor watter soort verbinding gemaak is.
Hoe die Encrypted Traffic Analytics (ETA)-stelsel werk
Om hierdie vrae te beantwoord gebruik ons masjienleer in hierdie stelsel. Navorsing van Cisco word geneem en op grond van hierdie studies word 'n tabel geskep uit 2 resultate - kwaadwillige en "goeie" verkeer. Natuurlik weet ons nie vir seker watter soort verkeer op die huidige tydstip direk die stelsel binnegekom het nie, maar ons kan die geskiedenis van verkeer binne en buite die maatskappy naspeur deur data van die wêreldtoneel af te gebruik. Aan die einde van hierdie stadium kry ons 'n groot tabel met data.
Op grond van die resultate van die studie word kenmerkende kenmerke geïdentifiseer - sekere reëls wat in wiskundige vorm neergeskryf kan word. Hierdie reëls sal baie verskil na gelang van verskillende kriteria - die grootte van die oorgedra lêers, die tipe verbinding, die land waaruit hierdie verkeer kom, ens. As gevolg van die werk het die groot tafel in 'n stel hope formules verander. Daar is minder van hulle, maar dit is nie genoeg vir gemaklike werk nie.
Vervolgens word masjienleertegnologie toegepas - formulekonvergensie en gebaseer op die resultaat van konvergensie kry ons 'n sneller - 'n skakelaar, waar wanneer die data uitgestuur word, ons 'n skakelaar (vlag) in die verhoogde of verlaagde posisie kry.
Die gevolglike stadium is om 'n stel snellers te verkry wat 99% van die verkeer gedek het.
Verkeerinspeksiestappe in ETA
As gevolg van die werk word nog 'n probleem opgelos - 'n aanval van binne. Daar is nie meer 'n behoefte dat mense in die middel verkeer handmatig filter nie (ek verdrink myself op hierdie stadium). Eerstens hoef jy nie meer baie geld aan 'n bekwame stelseladministrateur te spandeer nie (ek gaan voort om myself te verdrink). Tweedens is daar geen gevaar van inbraak van binne (ten minste gedeeltelik) nie.
Verouderde Man-in-die-Middel-konsep
Laat ons nou uitvind waarop die stelsel gebaseer is.
Die stelsel werk op 4 kommunikasieprotokolle: TCP/IP – Internet data-oordragprotokol, DNS – domeinnaambediener, TLS – vervoerlaagsekuriteitsprotokol, SPLT (SpaceWire Physical Layer Tester) – fisiese kommunikasielaagtoetser.
Protokolle wat met ETA werk
Vergelyking word gemaak deur data te vergelyk. Deur TCP/IP-protokolle te gebruik, word die reputasie van webwerwe nagegaan (besoekgeskiedenis, doel om die webwerf te skep, ens.), Danksy die DNS-protokol kan ons "slegte" webwerfadresse weggooi. Die TLS-protokol werk met 'n webwerf se vingerafdruk en verifieer die webwerf teen 'n rekenaarnoodreaksiespan (sert). Die laaste stap om die verbinding na te gaan, is om op fisiese vlak na te gaan. Die besonderhede van hierdie stadium word nie gespesifiseer nie, maar die punt is soos volg: kontrolering van die sinus- en cosinuskrommes van data-oordragkrommes op ossillografiese installasies, d.w.s. Danksy die struktuur van die versoek by die fisiese laag, bepaal ons die doel van die verbinding.
As gevolg van die stelsel se werking, kan ons data van geënkripteerde verkeer verkry. Deur pakkies te ondersoek, kan ons soveel inligting as moontlik uit die ongeënkripteerde velde in die pakkie self lees. Deur die pakkie by die fisiese laag te inspekteer, vind ons die kenmerke van die pakkie (gedeeltelik of heeltemal) uit. Moet ook nie vergeet van die reputasie van die webwerwe nie. As die versoek van een of ander .onion-bron afkomstig is, moet jy dit nie vertrou nie. Om dit makliker te maak om met hierdie soort data te werk, is 'n risikokaart geskep.
Resultaat van ETA se werk
En alles blyk in orde te wees, maar kom ons praat oor netwerkontplooiing.
Fisiese implementering van ETA
'n Aantal nuanses en subtiliteite kom hier na vore. Eerstens, wanneer die skep van hierdie soort van
netwerke met hoëvlaksagteware, word data-insameling vereis. Versamel data heeltemal met die hand
wild, maar die implementering van 'n reaksiestelsel is reeds meer interessant. Tweedens, die data
daar moet baie wees, wat beteken dat die geïnstalleerde netwerksensors moet werk
nie net outonoom nie, maar ook in 'n fyn ingestelde modus, wat 'n aantal probleme skep.
Sensors en Stealthwatch-stelsel
Die installering van 'n sensor is een ding, maar om dit op te stel is 'n heeltemal ander taak. Om sensors te konfigureer, is daar 'n kompleks wat volgens die volgende topologie werk - ISR = Cisco Integrated Services Router; ASR = Cisco Aggregation Services Router; CSR = Cisco Wolkdienste-roeteerder; WLC = Cisco Wireless LAN Controller; IE = Cisco Industrial Ethernet Switch; ASA = Cisco Adaptive Security Appliance; FTD = Cisco Firepower Threat Defence Solution; WSA = Web Security Appliance; ISE = Identity Services Engine
Omvattende monitering met inagneming van enige telemetriese data
Netwerkadministrateurs begin aritmie ervaar van die aantal woorde "Cisco" in die vorige paragraaf. Die prys van hierdie wonderwerk is nie klein nie, maar dit is nie waaroor ons vandag praat nie...
Die hacker se gedrag sal soos volg gemodelleer word. Stealthwatch monitor die aktiwiteit van elke toestel op die netwerk noukeurig en is in staat om 'n patroon van normale gedrag te skep. Daarbenewens bied hierdie oplossing diepgaande insig in bekende onvanpaste gedrag. Die oplossing gebruik ongeveer 100 verskillende analise-algoritmes of heuristieke wat verskillende soorte verkeersgedrag aanspreek, soos skandering, gasheeralarmrame, brute-force-aanmeldings, vermoedelike datavaslegging, vermoedelike datalekkasie, ens. Die sekuriteitsgebeurtenisse wat gelys word, val onder die kategorie van hoëvlak logiese alarms. Sommige sekuriteitsgebeurtenisse kan ook 'n alarm op hul eie aktiveer. Die stelsel is dus in staat om verskeie geïsoleerde afwykende voorvalle te korreleer en saam te stel om die moontlike tipe aanval te bepaal, asook om dit aan 'n spesifieke toestel en gebruiker te koppel (Figuur 2). In die toekoms kan die voorval oor tyd bestudeer word en met inagneming van die gepaardgaande telemetriedata. Dit vorm kontekstuele inligting op sy beste. Dokters wat 'n pasiënt ondersoek om te verstaan wat fout is, kyk nie na die simptome in isolasie nie. Hulle kyk na die groot prentjie om 'n diagnose te maak. Net so vang Stealthwatch elke abnormale aktiwiteit op die netwerk vas en ondersoek dit holisties om konteksbewuste alarms te stuur, en sodoende sekuriteitspersoneel te help om risiko's te prioritiseer.
Anomalie-opsporing met behulp van gedragsmodellering
Die fisiese ontplooiing van die netwerk lyk soos volg:
Taknetwerk ontplooiing opsie (vereenvoudig)
Taknetwerk ontplooiing opsie
Die netwerk is ontplooi, maar die vraag oor die neuron bly oop. Hulle het 'n data-oordragnetwerk georganiseer, sensors op die drumpels geïnstalleer en 'n inligtinginsamelingstelsel van stapel gestuur, maar die neuron het nie aan die saak deelgeneem nie. Totsiens.
Multilaag neurale netwerk
Die stelsel ontleed gebruikers- en toestelgedrag om kwaadwillige infeksies, kommunikasie met bevel- en beheerbedieners, datalekkasies en potensieel ongewenste toepassings wat in die organisasie se infrastruktuur loop, op te spoor. Daar is veelvuldige lae dataverwerking waar 'n kombinasie van kunsmatige intelligensie, masjienleer en wiskundige statistiektegnieke die netwerk help om sy normale aktiwiteit self te leer sodat dit kwaadwillige aktiwiteit kan opspoor.
Die netwerksekuriteitontledingspyplyn, wat telemetriedata van alle dele van die uitgebreide netwerk versamel, insluitend geënkripteerde verkeer, is 'n unieke kenmerk van Stealthwatch. Dit ontwikkel inkrementeel 'n begrip van wat "afwykend" is, dan kategoriseer die werklike individuele elemente van "bedreigingsaktiwiteit" en maak uiteindelik 'n finale oordeel of die toestel of gebruiker werklik gekompromitteer is. Die vermoë om klein stukkies saam te voeg wat saam die bewyse vorm om 'n finale besluit te neem oor of 'n bate gekompromitteer is, kom deur baie noukeurige ontleding en korrelasie.
Hierdie vermoë is belangrik omdat 'n tipiese besigheid elke dag 'n groot aantal alarms kan ontvang, en dit is onmoontlik om elkeen te ondersoek omdat sekuriteitspersoneel beperkte hulpbronne het. Die masjienleermodule verwerk groot hoeveelhede inligting in byna intydse om kritieke voorvalle met 'n hoë vlak van vertroue te identifiseer, en is ook in staat om duidelike aksies vir vinnige oplossing te verskaf.
Kom ons kyk van naderby na die talle masjienleertegnieke wat deur Stealthwatch gebruik word. Wanneer 'n voorval by Stealthwatch se masjienleer-enjin ingedien word, gaan dit deur 'n sekuriteitsontledingstregter wat 'n kombinasie van masjienleertegnieke onder toesig en sonder toesig gebruik.
Multi-vlak masjienleer vermoëns
Vlak 1. Anomalie opsporing en vertroue modellering
Op hierdie vlak word 99% van die verkeer weggegooi met behulp van statistiese anomalie-detektors. Hierdie sensors vorm saam komplekse modelle van wat normaal is en wat, inteendeel, abnormaal is. Die abnormale is egter nie noodwendig skadelik nie. Baie van wat op jou netwerk gebeur, het niks met die bedreiging te doen nie—dit is net vreemd. Dit is belangrik om sulke prosesse te klassifiseer sonder inagneming van dreigende gedrag. Om hierdie rede word die resultate van sulke detektors verder ontleed om vreemde gedrag vas te vang wat verklaar en vertrou kan word. Uiteindelik kom slegs 'n klein fraksie van die belangrikste drade en versoeke na lae 2 en 3. Sonder die gebruik van sulke masjienleertegnieke sal die bedryfskoste om die sein van die geraas te skei te hoog wees.
Anomalie opsporing. Die eerste stap in anomalie-opsporing gebruik statistiese masjienleertegnieke om statisties normale verkeer van abnormale verkeer te skei. Meer as 70 individuele detektors verwerk die telemetriedata wat Stealthwatch insamel op verkeer wat deur jou netwerkomtrek gaan, wat interne Domain Name System (DNS)-verkeer van instaanbedienerdata skei, indien enige. Elke versoek word deur meer as 70 detektors verwerk, met elke detector wat sy eie statistiese algoritme gebruik om 'n assessering van die bespeurde afwykings te vorm. Hierdie tellings word gekombineer en verskeie statistiese metodes word gebruik om 'n enkele telling vir elke individuele navraag te produseer. Hierdie totale telling word dan gebruik om normale en abnormale verkeer te skei.
Modelleer vertroue. Vervolgens word soortgelyke versoeke gegroepeer, en die totale anomalietelling vir sulke groepe word as 'n langtermyngemiddeld bepaal. Met verloop van tyd word meer navrae ontleed om die langtermyngemiddelde te bepaal en sodoende vals positiewe en vals negatiewe te verminder. Die resultate van die trustmodellering word gebruik om 'n subset van verkeer te kies waarvan die afwykingstelling die een of ander dinamies-bepaalde drempel oorskry om na die volgende verwerkingsvlak te beweeg.
Vlak 2. Gebeurtenisklassifikasie en objekmodellering
Op hierdie vlak word die resultate wat in die vorige stadiums verkry is, geklassifiseer en aan spesifieke kwaadwillige gebeurtenisse toegewys. Gebeurtenisse word geklassifiseer op grond van die waarde wat deur masjienleerklassifiseerders toegeken word om 'n konsekwente akkuraatheidskoers bo 90% te verseker. Tussen hulle:
- lineêre modelle gebaseer op die Neyman-Pearson-lemma (die wet van normaalverdeling vanaf die grafiek aan die begin van die artikel)
- ondersteun vektormasjiene deur meerveranderlike leer te gebruik
- neurale netwerke en die ewekansige woud-algoritme.
Hierdie geïsoleerde sekuriteitsgebeurtenisse word dan met verloop van tyd met 'n enkele eindpunt geassosieer. Dit is op hierdie stadium dat 'n bedreigingsbeskrywing gevorm word, op grond waarvan 'n volledige prentjie geskep word van hoe die betrokke aanvaller dit reggekry het om sekere resultate te behaal.
Klassifikasie van gebeure. Die statisties afwykende subset van die vorige vlak word in 100 of meer kategorieë versprei deur gebruik te maak van klassifiseerders. Die meeste klassifiseerders is gebaseer op individuele gedrag, groepverhoudings of gedrag op 'n globale of plaaslike skaal, terwyl ander redelik spesifiek kan wees. Die klassifiseerder kan byvoorbeeld C&C-verkeer, 'n verdagte uitbreiding of 'n ongemagtigde sagteware-opdatering aandui. Op grond van die resultate van hierdie stadium word 'n stel afwykende gebeure in die sekuriteitstelsel gevorm, geklassifiseer in sekere kategorieë.
Objektmodellering. As die hoeveelheid bewyse wat die hipotese ondersteun dat 'n spesifieke voorwerp skadelik is die wesenlikheidsdrempel oorskry, word 'n bedreiging bepaal. Relevante gebeure wat die definisie van 'n bedreiging beïnvloed het, word met so 'n bedreiging geassosieer en word deel van 'n diskrete langtermynmodel van die objek. Soos bewyse mettertyd ophoop, identifiseer die stelsel nuwe bedreigings wanneer die wesenlikheidsdrempel bereik word. Hierdie drempelwaarde is dinamies en word intelligent aangepas op grond van die vlak van bedreigingsrisiko en ander faktore. Hierna verskyn die bedreiging op die inligtingspaneel van die webkoppelvlak en word na die volgende vlak oorgedra.
Vlak 3. Verhoudingsmodellering
Die doel van verhoudingsmodellering is om die resultate wat op vorige vlakke verkry is, vanuit 'n globale perspektief te sintetiseer, met inagneming van nie net die plaaslike nie, maar ook die globale konteks van die betrokke insident. Dit is op hierdie stadium dat jy kan bepaal hoeveel organisasies so 'n aanval teëgekom het om te verstaan of dit spesifiek op jou gemik was of deel is van 'n wêreldwye veldtog, en jy is sopas gevang.
Voorvalle word bevestig of ontdek. 'n Geverifieerde voorval impliseer 99 tot 100% vertroue omdat die gepaardgaande tegnieke en gereedskap voorheen in aksie op 'n groter (wêreldwye) skaal waargeneem is. Voorvalle wat bespeur word, is uniek aan jou en vorm deel van 'n hoogs geteikende veldtog. Vorige bevindings word gedeel met 'n bekende manier van aksie, wat jou tyd en hulpbronne bespaar in reaksie. Hulle kom met die ondersoekinstrumente wat jy nodig het om te verstaan wie jou aangeval het en die mate waarin die veldtog jou digitale besigheid gerig het. Soos jy jou kan voorstel, oorskry die aantal bevestigde voorvalle die aantal bespeurde verreweg om die eenvoudige rede dat bevestigde voorvalle nie veel koste vir aanvallers meebring nie, terwyl bespeurde voorvalle dit wel doen.
duur omdat hulle nuut en pasgemaak moet wees. Deur die vermoë te skep om bevestigde voorvalle te identifiseer, het die spel se ekonomie uiteindelik ten gunste van verdedigers verskuif, wat hulle 'n duidelike voordeel gee.
Multi-vlak opleiding van 'n neurale verbinding stelsel gebaseer op ETA
Wêreldwye risikokaart
Die globale risikokaart word geskep deur analise wat deur masjienleeralgoritmes toegepas word op een van die grootste datastelle van sy soort in die bedryf. Dit verskaf uitgebreide gedragstatistieke rakende bedieners op die internet, selfs al is hulle onbekend. Sulke bedieners word met aanvalle geassosieer en kan in die toekoms betrokke wees of as deel van 'n aanval gebruik word. Dit is nie 'n "swartlys" nie, maar 'n omvattende prentjie van die betrokke bediener vanuit 'n sekuriteitsoogpunt. Hierdie kontekstuele inligting oor die aktiwiteit van hierdie bedieners stel Stealthwatch se masjienleerverklikkers en klassifiseerders in staat om die vlak van risiko wat verband hou met kommunikasie met sulke bedieners akkuraat te voorspel.
Jy kan beskikbare kaarte sien .
Wêreldkaart wat 460 miljoen IP-adresse wys
Nou leer die netwerk en staan op om jou netwerk te beskerm.
Uiteindelik is 'n wondermiddel gevind?
Ongelukkig, geen. Uit ondervinding om met die stelsel te werk, kan ek sê dat daar 2 globale probleme is.
Probleem 1. Prys. Die hele netwerk word op 'n Cisco-stelsel ontplooi. Dit is beide goed en sleg. Die goeie kant is dat jy nie hoef te pla en 'n klomp proppe soos D-Link, MikroTik, ens. Die nadeel is die groot koste van die stelsel. Met inagneming van die ekonomiese toestand van Russiese besigheid, kan op die oomblik slegs 'n ryk eienaar van 'n groot maatskappy of bank hierdie wonderwerk bekostig.
Probleem 2: Opleiding. Ek het nie in die artikel die opleidingstydperk vir die neurale netwerk geskryf nie, maar nie omdat dit nie bestaan nie, maar omdat dit heeltyd leer en ons nie kan voorspel wanneer dit sal leer nie. Natuurlik is daar gereedskap van wiskundige statistiek (neem dieselfde formulering van die Pearson-konvergensiekriterium), maar dit is halwe maatstawwe. Ons kry die waarskynlikheid om verkeer te filter, en selfs dan slegs onder die voorwaarde dat die aanval reeds bemeester en bekend is.
Ten spyte van hierdie 2 probleme, het ons 'n groot sprong gemaak in die ontwikkeling van inligtingsekuriteit in die algemeen en netwerkbeskerming in die besonder. Hierdie feit kan motiverend wees vir die studie van netwerktegnologieë en neurale netwerke, wat nou 'n baie belowende rigting is.
Bron: will.com