نظام لتحليل حركة المرور دون فك تشفيرها. تسمى هذه الطريقة ببساطة "التعلم الآلي". اتضح أنه إذا تم تغذية حجم كبير جدًا من حركة المرور المختلفة إلى مدخلات مصنف خاص، فيمكن للنظام اكتشاف تصرفات التعليمات البرمجية الضارة داخل حركة المرور المشفرة بدرجة عالية جدًا من الاحتمال.
لقد تغيرت التهديدات عبر الإنترنت وأصبحت أكثر ذكاءً. في الآونة الأخيرة، تغير مفهوم الهجوم والدفاع. لقد زاد عدد الأحداث على الشبكة بشكل ملحوظ. أصبحت الهجمات أكثر تعقيدًا وأصبح للقراصنة نطاق أوسع.
وفقًا لإحصائيات شركة Cisco، ضاعف المهاجمون خلال العام الماضي عدد البرامج الضارة التي يستخدمونها في أنشطتهم ثلاث مرات، أو بالأحرى التشفير لإخفائها. ومن المعروف من الناحية النظرية أنه لا يمكن كسر خوارزمية التشفير "الصحيحة". من أجل فهم ما هو مخفي داخل حركة المرور المشفرة، من الضروري إما فك تشفيرها بمعرفة المفتاح، أو محاولة فك تشفيرها باستخدام حيل مختلفة، أو الاختراق المباشر، أو استخدام نوع من نقاط الضعف في بروتوكولات التشفير.
صورة لتهديدات الشبكة في عصرنا هذا
التعلم الآلي
تعرف على التكنولوجيا شخصيا! قبل الحديث عن كيفية عمل تقنية فك التشفير المبنية على التعلم الآلي نفسها، من الضروري أن نفهم كيف تعمل تقنية الشبكات العصبية.
التعلم الآلي هو قسم فرعي واسع من الذكاء الاصطناعي يدرس طرق بناء الخوارزميات التي يمكنها التعلم. يهدف هذا العلم إلى إنشاء نماذج رياضية "لتدريب" الكمبيوتر. الغرض من التعلم هو التنبؤ بشيء ما. في الفهم البشري، نسمي هذه العملية بالكلمة "حكمة". تتجلى الحكمة في الأشخاص الذين عاشوا لفترة طويلة (لا يمكن لطفل يبلغ من العمر عامين أن يكون حكيماً). عند التوجه إلى كبار الرفاق للحصول على المشورة، نعطيهم بعض المعلومات حول الحدث (بيانات الإدخال) ونطلب منهم المساعدة. إنهم، بدورهم، يتذكرون جميع المواقف من الحياة، والتي ترتبط بطريقة أو بأخرى بمشكلتك (قاعدة المعرفة)، وبناء على هذه المعرفة (البيانات)، تعطينا نوعا من التنبؤ (النصيحة). بدأ يطلق على هذا النوع من النصائح اسم التنبؤ لأن الشخص الذي يقدم النصيحة لا يعرف على وجه اليقين ما سيحدث، بل يفترض فقط. تظهر تجربة الحياة أن الشخص يمكن أن يكون على حق، ويمكن أن يكون مخطئا.
يجب ألا تقارن الشبكات العصبية بخوارزمية التفرع (إذا كان الأمر كذلك). هذه أشياء مختلفة وهناك اختلافات رئيسية. تتمتع خوارزمية التفرع بـ "فهم" واضح لما يجب فعله. سأوضح بالأمثلة.
مهمة. تحديد مسافة فرملة السيارة بناءً على نوعها وسنة الصنع.
مثال على خوارزمية التفرع. إذا كانت السيارة ماركة 1 وتم إصدارها عام 2012، فإن مسافة الكبح الخاصة بها تكون 10 أمتار، وإلا إذا كانت السيارة ماركة 2 وتم إصدارها عام 2011، وهكذا.
مثال على الشبكة العصبية. نقوم بجمع بيانات عن مسافات فرملة السيارة على مدار العشرين عامًا الماضية. حسب العلامة التجارية والسنة، نقوم بتجميع جدول على شكل "سنة الصنع لمسافة الكبح". نصدر هذا الجدول للشبكة العصبية ونبدأ بتدريسه. يتم التدريب على النحو التالي: نقوم بتغذية البيانات إلى الشبكة العصبية، ولكن بدون مسار الكبح. تحاول الخلية العصبية التنبؤ بمسافة الكبح بناءً على الجدول المحمل فيها. يتنبأ بشيء ما ويسأل المستخدم "هل أنا على حق؟" قبل طرح السؤال، تقوم بإنشاء عمود رابع، وهو عمود التخمين. إذا كانت على حق، فإنها تكتب 20 في العمود الرابع، وإذا كانت مخطئة، فإنها تكتب 1. تنتقل الشبكة العصبية إلى الحدث التالي (حتى لو ارتكبت خطأ). هذه هي الطريقة التي تتعلم بها الشبكة وعندما يتم الانتهاء من التدريب (تم الوصول إلى معيار تقارب معين)، نقوم بتقديم بيانات حول السيارة التي نهتم بها ونحصل في النهاية على إجابة.
ولإزالة السؤال المتعلق بمعيار التقارب، سأشرح أن هذه صيغة مشتقة رياضيا للإحصاء. مثال صارخ على صيغتين مختلفتين للتقارب. الأحمر - التقارب الثنائي، الأزرق - التقارب العادي.
التوزيعات الاحتمالية ذات الحدين والعادية
ولتوضيح الأمر أكثر، اطرح السؤال "ما هو احتمال مقابلة ديناصور؟" هناك 2 الإجابات المحتملة هنا. الخيار 1 – صغير جدًا (الرسم البياني الأزرق). الخيار 2 – إما اجتماع أم لا (الرسم البياني الأحمر).
وبطبيعة الحال، الكمبيوتر ليس شخصا ويتعلم بشكل مختلف. هناك نوعان من تدريب الحصان الحديدي: التعلم القائم على الحالة и التعلم الاستنتاجي.
التدريس حسب السوابق هو طريقة للتدريس باستخدام القوانين الرياضية. يقوم علماء الرياضيات بجمع جداول الإحصائيات، واستخلاص النتائج، وتحميل النتيجة إلى الشبكة العصبية - وهي صيغة للحساب.
التعلم الاستنتاجي - يحدث التعلم بالكامل في الخلية العصبية (من جمع البيانات إلى تحليلها). هنا يتم تشكيل جدول بدون صيغة، ولكن مع الإحصائيات.
قد تستغرق نظرة عامة واسعة النطاق على التكنولوجيا بضع عشرات من المقالات الأخرى. في الوقت الحالي، سيكون هذا كافيًا لفهمنا العام.
المرونة العصبية
يوجد في علم الأحياء مثل هذا المفهوم - المرونة العصبية. المرونة العصبية هي قدرة الخلايا العصبية (خلايا الدماغ) على التصرف "وفقًا للموقف". على سبيل المثال، الشخص الذي فقد بصره يسمع الأصوات والروائح ويشعر بالأشياء بشكل أفضل. ويرجع ذلك إلى حقيقة أن جزء الدماغ (جزء من الخلايا العصبية) المسؤول عن الرؤية يعيد توزيع عمله على وظائف أخرى.
من الأمثلة الصارخة على المرونة العصبية في الحياة مصاصة BrainPort.
في عام 2009، أعلنت جامعة ويسكونسن في ماديسون عن إطلاق جهاز جديد طور أفكار "عرض اللغة" - وكان يسمى BrainPort. يعمل BrainPort وفقًا للخوارزمية التالية: يتم إرسال إشارة الفيديو من الكاميرا إلى المعالج الذي يتحكم في التكبير/التصغير والسطوع ومعلمات الصورة الأخرى. كما أنه يحول الإشارات الرقمية إلى نبضات كهربائية، ويتولى بشكل أساسي وظائف شبكية العين.
مصاصة BrainPort مع النظارات والكاميرا
BrainPort في العمل
الشيء نفسه مع جهاز كمبيوتر. إذا شعرت الشبكة العصبية بتغيير في العملية، فإنها تتكيف معه. هذه هي الميزة الرئيسية للشبكات العصبية مقارنة بالخوارزميات الأخرى – الاستقلالية. نوع من الإنسانية.
تحليلات حركة المرور المشفرة
تعد تحليلات حركة المرور المشفرة جزءًا من نظام Stealthwatch. Stealthwatch هو دخول Cisco إلى حلول المراقبة والتحليلات الأمنية التي تستفيد من بيانات القياس عن بعد الخاصة بالمؤسسة من البنية التحتية الحالية للشبكة.
تعتمد Stealthwatch Enterprise على ترخيص معدل التدفق ومجمع التدفق ووحدة التحكم الإدارية وأدوات استشعار التدفق.
واجهة سيسكو Stealthwatch
أصبحت مشكلة التشفير حادة للغاية نظرًا لحقيقة أن المزيد من حركة المرور بدأت في التشفير. في السابق، كان يتم تشفير الكود فقط (في الغالب)، ولكن الآن يتم تشفير كل حركة المرور وأصبح فصل البيانات "النظيفة" عن الفيروسات أكثر صعوبة. ومن الأمثلة الصارخة على ذلك فيروس WannaCry، الذي استخدم Tor لإخفاء تواجده على الإنترنت.
تصور النمو في تشفير حركة المرور على الشبكة
التشفير في الاقتصاد الكلي
يعد نظام تحليلات حركة المرور المشفرة (ETA) ضروريًا على وجه التحديد للعمل مع حركة المرور المشفرة دون فك تشفيرها. المهاجمون أذكياء ويستخدمون خوارزميات تشفير مقاومة للتشفير، ولا يعد كسرها مشكلة فحسب، بل إنه مكلف للغاية أيضًا للمؤسسات.
ويعمل هذا النظام على النحو التالي. بعض حركة المرور تأتي إلى الشركة. يقع ضمن TLS (أمان طبقة النقل). لنفترض أن حركة المرور مشفرة. نحن نحاول الإجابة على عدد من الأسئلة حول نوع الاتصال الذي تم إجراؤه.
كيف يعمل نظام تحليلات حركة المرور المشفرة (ETA).
للإجابة على هذه الأسئلة نستخدم التعلم الآلي في هذا النظام. تم أخذ الأبحاث من شركة Cisco وبناءً على هذه الدراسات تم إنشاء جدول من نتيجتين - حركة مرور ضارة و"جيدة". بالطبع، لا نعرف على وجه اليقين نوع حركة المرور التي دخلت النظام مباشرة في الوقت الحالي، ولكن يمكننا تتبع تاريخ حركة المرور داخل الشركة وخارجها باستخدام بيانات من المسرح العالمي. في نهاية هذه المرحلة نحصل على جدول ضخم بالبيانات.
وبناء على نتائج الدراسة، يتم تحديد السمات المميزة - قواعد معينة يمكن تدوينها في شكل رياضي. ستختلف هذه القواعد بشكل كبير اعتمادًا على معايير مختلفة - حجم الملفات المنقولة، ونوع الاتصال، والبلد الذي تأتي منه حركة المرور هذه، وما إلى ذلك. ونتيجة للعمل، تحول الجدول الضخم إلى مجموعة من أكوام الصيغ. هناك عدد أقل منهم، ولكن هذا لا يكفي للعمل المريح.
بعد ذلك، يتم تطبيق تقنية التعلم الآلي - تقارب الصيغة وبناءً على نتيجة التقارب نحصل على مشغل - مفتاح، حيث عند إخراج البيانات نحصل على مفتاح (علم) في الموضع المرتفع أو المنخفض.
المرحلة الناتجة هي الحصول على مجموعة من المشغلات التي غطت 99% من حركة المرور.
خطوات التفتيش المروري في ETA
نتيجة للعمل، تم حل مشكلة أخرى - هجوم من الداخل. لم تعد هناك حاجة للأشخاص الموجودين في المنتصف لتصفية حركة المرور يدويًا (أنا أغرق نفسي في هذه المرحلة). أولا، لم تعد بحاجة إلى إنفاق الكثير من المال على مسؤول النظام المختص (ما زلت أغرق نفسي). ثانياً: لا يوجد خطر الاختراق من الداخل (جزئياً على الأقل).
مفهوم الرجل في الوسط الذي عفا عليه الزمن
الآن دعونا نتعرف على ما يقوم عليه النظام.
يعمل النظام على 4 بروتوكولات اتصال: TCP/IP – بروتوكول نقل بيانات الإنترنت، DNS – خادم اسم المجال، TLS – بروتوكول أمان طبقة النقل، SPLT (SpaceWire Physical Layer Tester) – فاحص طبقة الاتصال المادية.
البروتوكولات التي تعمل مع ETA
تتم المقارنة عن طريق مقارنة البيانات. باستخدام بروتوكولات TCP/IP، يتم التحقق من سمعة المواقع (سجل الزيارات، والغرض من إنشاء الموقع، وما إلى ذلك)، وبفضل بروتوكول DNS، يمكننا التخلص من عناوين المواقع "السيئة". يعمل بروتوكول TLS مع بصمة الموقع ويتحقق من الموقع مقابل فريق الاستجابة لطوارئ الكمبيوتر (الشهادة). الخطوة الأخيرة في التحقق من الاتصال هي التحقق على المستوى المادي. لم يتم تحديد تفاصيل هذه المرحلة، ولكن النقطة هي كما يلي: التحقق من منحنيات الجيب وجيب التمام لمنحنيات نقل البيانات على المنشآت الذبذبية، أي. بفضل بنية الطلب في الطبقة المادية، نحدد الغرض من الاتصال.
نتيجة لتشغيل النظام، يمكننا الحصول على البيانات من حركة المرور المشفرة. ومن خلال فحص الحزم، يمكننا قراءة أكبر قدر ممكن من المعلومات من الحقول غير المشفرة في الحزمة نفسها. من خلال فحص الحزمة في الطبقة المادية، نكتشف خصائص الحزمة (جزئيًا أو كليًا). ولا تنس أيضًا سمعة المواقع. إذا جاء الطلب من مصدر ما، فلا يجب أن تثق به. لتسهيل التعامل مع هذا النوع من البيانات، تم إنشاء خريطة المخاطر.
نتيجة عمل إيتا
ويبدو أن كل شيء على ما يرام، ولكن دعونا نتحدث عن نشر الشبكة.
التنفيذ المادي لـ ETA
ينشأ هنا عدد من الفروق الدقيقة والخفايا. أولا، عند إنشاء هذا النوع من
الشبكات ذات البرامج عالية المستوى، مطلوب جمع البيانات. جمع البيانات يدويا بشكل كامل
البرية، ولكن تنفيذ نظام الاستجابة هو بالفعل أكثر إثارة للاهتمام. ثانياً، البيانات
يجب أن يكون هناك الكثير، مما يعني أن أجهزة استشعار الشبكة المثبتة يجب أن تعمل
ليس فقط بشكل مستقل، ولكن أيضًا في وضع مضبوط بدقة، مما يخلق عددًا من الصعوبات.
أجهزة الاستشعار ونظام المراقبة
يعد تثبيت المستشعر أمرًا واحدًا، لكن إعداده مهمة مختلفة تمامًا. لتكوين أجهزة الاستشعار، يوجد مجمع يعمل وفقًا للطوبولوجيا التالية - ISR = Cisco Integrated Services Router؛ ASR = موجه خدمات التجميع من Cisco؛ CSR = جهاز توجيه Cisco Cloud Services؛ WLC = وحدة تحكم الشبكة المحلية اللاسلكية Cisco؛ IE = محول Cisco Industrial Ethernet؛ ASA = جهاز Cisco Adaptive Security Appliance؛ FTD = حل Cisco Firepower Threat Defense Solution؛ WSA = جهاز أمان الويب؛ ISE = محرك خدمات الهوية
مراقبة شاملة مع الأخذ في الاعتبار أي بيانات القياس عن بعد
يبدأ مسؤولو الشبكة في تجربة عدم انتظام ضربات القلب من عدد الكلمات "Cisco" في الفقرة السابقة. ثمن هذه المعجزة ليس بالقليل، ولكن ليس هذا ما نتحدث عنه اليوم...
سيتم تصميم سلوك المتسلل على النحو التالي. تقوم Stealthwatch بمراقبة نشاط كل جهاز على الشبكة بعناية وتكون قادرة على إنشاء نمط من السلوك الطبيعي. بالإضافة إلى ذلك، يوفر هذا الحل رؤية عميقة للسلوك غير المناسب المعروف. يستخدم الحل ما يقرب من 100 خوارزمية تحليلية أو استدلالات مختلفة تتناول أنواعًا مختلفة من سلوك حركة المرور مثل المسح الضوئي وإطارات إنذار المضيف وتسجيلات الدخول العنيفة والتقاط البيانات المشتبه بها وتسرب البيانات المشتبه به وما إلى ذلك. تقع الأحداث الأمنية المدرجة ضمن فئة الإنذارات المنطقية عالية المستوى. يمكن لبعض الأحداث الأمنية أيضًا أن تؤدي إلى إطلاق إنذار من تلقاء نفسها. وبالتالي، فإن النظام قادر على ربط عدة حوادث شاذة معزولة وجمعها معًا لتحديد نوع الهجوم المحتمل، بالإضافة إلى ربطه بجهاز ومستخدم محددين (الشكل 2). وفي المستقبل، يمكن دراسة الحادث مع مرور الوقت مع الأخذ في الاعتبار بيانات القياس عن بعد المرتبطة به. وهذا يشكل معلومات سياقية في أفضل حالاتها. الأطباء الذين يقومون بفحص المريض لفهم ما هو الخطأ لا ينظرون إلى الأعراض بمعزل عن غيرها. إنهم ينظرون إلى الصورة الكبيرة لإجراء التشخيص. وبالمثل، تلتقط Stealthwatch كل نشاط شاذ على الشبكة وتفحصه بشكل كلي لإرسال إنذارات مدركة للسياق، وبالتالي مساعدة المتخصصين في مجال الأمن على تحديد أولويات المخاطر.
الكشف عن الشذوذ باستخدام نمذجة السلوك
يبدو النشر الفعلي للشبكة كما يلي:
خيار نشر شبكة الفروع (مبسط)
خيار نشر شبكة الفروع
تم نشر الشبكة، لكن السؤال المتعلق بالخلية العصبية يظل مفتوحًا. قاموا بتنظيم شبكة نقل البيانات، وتركيب أجهزة استشعار على العتبات وأطلقوا نظامًا لجمع المعلومات، لكن العصبون لم يشارك في الأمر. الوداع.
شبكة عصبية متعددة الطبقات
يقوم النظام بتحليل سلوك المستخدم والجهاز للكشف عن الإصابات الضارة، والاتصالات مع خوادم القيادة والسيطرة، وتسرب البيانات، والتطبيقات غير المرغوب فيها المحتملة التي تعمل في البنية التحتية للمؤسسة. هناك طبقات متعددة من معالجة البيانات حيث يساعد مزيج من الذكاء الاصطناعي والتعلم الآلي وتقنيات الإحصاء الرياضي الشبكة على التعلم الذاتي لنشاطها الطبيعي حتى تتمكن من اكتشاف النشاط الضار.
يعد خط أنابيب تحليل أمان الشبكة، الذي يجمع بيانات القياس عن بعد من جميع أجزاء الشبكة الموسعة، بما في ذلك حركة المرور المشفرة، ميزة فريدة لـ Stealthwatch. فهو يطور بشكل تدريجي فهمًا لما هو "شاذ"، ثم يصنف العناصر الفردية الفعلية "لنشاط التهديد"، وأخيرًا يصدر حكمًا نهائيًا بشأن ما إذا كان الجهاز أو المستخدم قد تعرض بالفعل للاختراق. إن القدرة على تجميع القطع الصغيرة التي تشكل معًا الدليل لاتخاذ قرار نهائي حول ما إذا كان الأصل قد تم اختراقه تأتي من خلال التحليل والارتباط الدقيق للغاية.
هذه القدرة مهمة لأن الأعمال التجارية النموذجية قد تتلقى عددًا كبيرًا من الإنذارات كل يوم، ومن المستحيل التحقيق في كل واحدة منها لأن متخصصي الأمن لديهم موارد محدودة. تقوم وحدة التعلم الآلي بمعالجة كميات هائلة من المعلومات في الوقت الفعلي تقريبًا لتحديد الحوادث الخطيرة بمستوى عالٍ من الثقة، كما أنها قادرة على توفير مسارات عمل واضحة للحل السريع.
دعونا نلقي نظرة فاحصة على تقنيات التعلم الآلي العديدة التي تستخدمها Stealthwatch. عندما يتم إرسال حادث إلى محرك التعلم الآلي في Stealthwatch، فإنه يمر عبر مسار تحليل الأمان الذي يستخدم مزيجًا من تقنيات التعلم الآلي الخاضعة للإشراف وغير الخاضعة للإشراف.
قدرات التعلم الآلي متعددة المستويات
المستوى 1. كشف الشذوذ ونمذجة الثقة
عند هذا المستوى، يتم تجاهل 99% من حركة المرور باستخدام أجهزة الكشف عن الشذوذ الإحصائية. تشكل هذه المستشعرات معًا نماذج معقدة لما هو طبيعي وما هو غير طبيعي، على العكس من ذلك. ومع ذلك، فإن ما هو غير طبيعي ليس بالضرورة ضارًا. الكثير مما يحدث على شبكتك لا علاقة له بالتهديد، إنه مجرد أمر غريب. ومن المهم تصنيف مثل هذه العمليات دون النظر إلى السلوك التهديدي. ولهذا السبب، يتم تحليل نتائج هذه الكاشفات بشكل أكبر من أجل التقاط السلوك الغريب الذي يمكن تفسيره والوثوق به. في النهاية، جزء صغير فقط من المواضيع والطلبات الأكثر أهمية يصل إلى الطبقتين 2 و3. وبدون استخدام تقنيات التعلم الآلي هذه، ستكون التكاليف التشغيلية لفصل الإشارة عن الضوضاء مرتفعة للغاية.
إكتشاف عيب خلقي. تستخدم الخطوة الأولى في الكشف عن الحالات الشاذة تقنيات التعلم الآلي الإحصائية لفصل حركة المرور العادية إحصائيًا عن حركة المرور الشاذة. يقوم أكثر من 70 كاشفًا فرديًا بمعالجة بيانات القياس عن بعد التي تجمعها Stealthwatch على حركة المرور التي تمر عبر محيط شبكتك، مع فصل حركة مرور نظام اسم المجال الداخلي (DNS) عن بيانات الخادم الوكيل، إن وجدت. تتم معالجة كل طلب بواسطة أكثر من 70 كاشفًا، حيث يستخدم كل كاشف خوارزمية إحصائية خاصة به لتشكيل تقييم للحالات الشاذة المكتشفة. يتم دمج هذه الدرجات ويتم استخدام طرق إحصائية متعددة لإنتاج درجة واحدة لكل استعلام فردي. يتم بعد ذلك استخدام هذه النتيجة الإجمالية للفصل بين حركة المرور العادية والشاذة.
الثقة النمذجة. بعد ذلك، يتم تجميع الطلبات المتشابهة، ويتم تحديد مجموع نقاط الشذوذ لهذه المجموعات كمتوسط طويل الأجل. وبمرور الوقت، يتم تحليل المزيد من الاستفسارات لتحديد المتوسط على المدى الطويل، وبالتالي تقليل الإيجابيات والسلبيات الكاذبة. يتم استخدام نتائج نمذجة الثقة لتحديد مجموعة فرعية من حركة المرور التي تتجاوز درجة شذوذها حدًا محددًا ديناميكيًا للانتقال إلى مستوى المعالجة التالي.
المستوي 2. تصنيف الأحداث ونمذجة الكائنات
وفي هذا المستوى، يتم تصنيف النتائج التي تم الحصول عليها في المراحل السابقة وتخصيصها لأحداث ضارة محددة. يتم تصنيف الأحداث بناءً على القيمة المخصصة بواسطة مصنفات التعلم الآلي لضمان معدل دقة ثابت يزيد عن 90%. فيما بينها:
- النماذج الخطية المبنية على معادلة نيمان-بيرسون (قانون التوزيع الطبيعي من الرسم البياني في بداية المقال)
- دعم الآلات المتجهة التي تستخدم التعلم متعدد المتغيرات
- الشبكات العصبية وخوارزمية الغابة العشوائية.
يتم بعد ذلك ربط هذه الأحداث الأمنية المعزولة بنقطة نهاية واحدة بمرور الوقت. في هذه المرحلة يتم تشكيل وصف التهديد، والذي يتم بناءً عليه إنشاء صورة كاملة لكيفية تمكن المهاجم المعني من تحقيق نتائج معينة.
تصنيف الأحداث. يتم توزيع المجموعة الفرعية الشاذة إحصائيًا من المستوى السابق إلى 100 فئة أو أكثر باستخدام المصنفات. تعتمد معظم المصنفات على السلوك الفردي، أو العلاقات الجماعية، أو السلوك على نطاق عالمي أو محلي، في حين أن البعض الآخر يمكن أن يكون محددًا تمامًا. على سبيل المثال، يمكن أن يشير المصنف إلى حركة مرور القيادة والسيطرة، أو ملحق مشبوه، أو تحديث برنامج غير مصرح به. وبناء على نتائج هذه المرحلة تتشكل مجموعة من الأحداث الشاذة في النظام الأمني، مصنفة إلى فئات معينة.
نمذجة الكائنات. إذا تجاوزت كمية الأدلة التي تدعم الفرضية القائلة بأن جسمًا معينًا ضارًا عتبة الأهمية النسبية، يتم تحديد التهديد. ترتبط الأحداث ذات الصلة التي أثرت على تعريف التهديد بمثل هذا التهديد وتصبح جزءًا من نموذج منفصل طويل المدى للكائن. ومع تراكم الأدلة بمرور الوقت، يحدد النظام التهديدات الجديدة عند الوصول إلى عتبة الأهمية النسبية. تعتبر قيمة العتبة هذه ديناميكية ويتم تعديلها بذكاء بناءً على مستوى مخاطر التهديد والعوامل الأخرى. بعد ذلك، يظهر التهديد على لوحة المعلومات بواجهة الويب ويتم نقله إلى المستوى التالي.
مستوى 3. نمذجة العلاقات
الغرض من نمذجة العلاقات هو تجميع النتائج التي تم الحصول عليها على المستويات السابقة من منظور عالمي، مع الأخذ في الاعتبار ليس فقط السياق المحلي ولكن أيضًا السياق العالمي للحادث ذي الصلة. في هذه المرحلة يمكنك تحديد عدد المنظمات التي واجهت مثل هذا الهجوم من أجل فهم ما إذا كان يستهدفك على وجه التحديد أم أنه جزء من حملة عالمية، وقد تم القبض عليك للتو.
تم تأكيد الحوادث أو اكتشافها. تشير الحادثة التي تم التحقق منها إلى ثقة بنسبة 99 إلى 100٪ لأن التقنيات والأدوات المرتبطة بها قد تمت ملاحظتها مسبقًا أثناء العمل على نطاق (عالمي) أكبر. إن الحوادث المكتشفة فريدة بالنسبة لك وتشكل جزءًا من حملة شديدة الاستهداف. وتتم مشاركة النتائج السابقة من خلال مسار عمل معروف، مما يوفر لك الوقت والموارد في الاستجابة. إنها تأتي مع أدوات التحقيق التي تحتاجها لفهم من هاجمك وإلى أي مدى كانت الحملة تستهدف عملك الرقمي. كما يمكنك أن تتخيل، فإن عدد الحوادث المؤكدة يتجاوز بكثير عدد الحوادث المكتشفة لسبب بسيط وهو أن الحوادث المؤكدة لا تنطوي على تكلفة كبيرة على المهاجمين، في حين أن الحوادث المكتشفة تفعل ذلك.
باهظة الثمن لأنها يجب أن تكون جديدة ومخصصة. من خلال خلق القدرة على تحديد الحوادث المؤكدة، تحولت اقتصاديات اللعبة أخيرًا لصالح المدافعين، مما يمنحهم ميزة واضحة.
تدريب متعدد المستويات لنظام الاتصال العصبي على أساس ETA
خريطة المخاطر العالمية
يتم إنشاء خريطة المخاطر العالمية من خلال التحليل الذي تطبقه خوارزميات التعلم الآلي على واحدة من أكبر مجموعات البيانات من نوعها في الصناعة. يوفر إحصائيات سلوكية واسعة النطاق فيما يتعلق بالخوادم الموجودة على الإنترنت، حتى لو كانت غير معروفة. ترتبط هذه الخوادم بالهجمات وقد تكون متورطة أو مستخدمة كجزء من هجوم في المستقبل. هذه ليست "قائمة سوداء"، ولكنها صورة شاملة للخادم المعني من وجهة نظر أمنية. تسمح هذه المعلومات السياقية حول نشاط هذه الخوادم لأجهزة كشف ومصنفات التعلم الآلي في Stealthwatch بالتنبؤ بدقة بمستوى المخاطر المرتبطة بالاتصالات مع هذه الخوادم.
يمكنك عرض البطاقات المتاحة .
خريطة العالم تظهر 460 مليون عنوان IP
الآن تتعلم الشبكة وتقف لحماية شبكتك.
وأخيرا، تم العثور على الدواء الشافي؟
للأسف، لا. من خلال تجربة العمل مع النظام، أستطيع أن أقول أن هناك مشكلتين عالميتين.
المشكلة 1. السعر. يتم نشر الشبكة بالكامل على نظام Cisco. هذا جيد ومتعب. الجانب الجيد هو أنك لست مضطرًا إلى إزعاج وتثبيت مجموعة من المقابس مثل D-Link وMikroTik وما إلى ذلك. الجانب السلبي هو التكلفة الضخمة للنظام. بالنظر إلى الحالة الاقتصادية للأعمال التجارية الروسية، في الوقت الحالي، لا يستطيع تحمل هذه المعجزة سوى مالك ثري لشركة أو بنك كبير.
المشكلة 2: التدريب. لم أكتب في المقال فترة التدريب للشبكة العصبية، ولكن ليس لأنها غير موجودة، ولكن لأنها تتعلم طوال الوقت ولا نستطيع التنبؤ متى ستتعلم. بالطبع، هناك أدوات للإحصاء الرياضي (خذ نفس صياغة معيار تقارب بيرسون)، لكن هذه مجرد مقاييس نصفية. نحصل على احتمال تصفية حركة المرور، وحتى ذلك الحين فقط بشرط أن يكون الهجوم متقنًا ومعروفًا بالفعل.
وعلى الرغم من هاتين المشكلتين، فقد حققنا قفزة كبيرة في تطوير أمن المعلومات بشكل عام وحماية الشبكات بشكل خاص. يمكن أن تكون هذه الحقيقة محفزة لدراسة تقنيات الشبكات والشبكات العصبية، والتي أصبحت الآن اتجاهًا واعدًا للغاية.
المصدر: www.habr.com