Usa ka sistema sa pag-analisar sa trapiko nga wala kini gi-decrypt. Kini nga pamaagi gitawag nga "pagkat-on sa makina". Kini nahimo nga kung ang usa ka dako kaayo nga gidaghanon sa lainlaing trapiko gipakaon sa input sa usa ka espesyal nga classifier, ang sistema makamatikod sa mga aksyon sa malisyoso nga code sa sulod sa naka-encrypt nga trapiko nga adunay taas nga posibilidad.
Ang mga hulga sa online nausab ug nahimong mas maalamon. Karong bag-o, ang konsepto sa pag-atake ug depensa nausab. Ang gidaghanon sa mga panghitabo sa network miuswag pag-ayo. Ang mga pag-atake nahimong mas sopistikado ug ang mga hacker adunay mas lapad nga pagkab-ot.
Sumala sa estadistika sa Cisco, sa miaging tuig, ang mga tig-atake mitriple sa gidaghanon sa malware nga ilang gigamit alang sa ilang mga kalihokan, o hinoon, pag-encrypt aron itago kini. Nahibal-an gikan sa teorya nga ang "husto" nga algorithm sa pag-encrypt dili mabuak. Aron masabtan kung unsa ang gitago sa sulod sa naka-encrypt nga trapiko, gikinahanglan nga i-decrypt kini nga nahibal-an ang yawe, o pagsulay sa pag-decrypt niini gamit ang lainlaing mga limbong, o direkta nga pag-hack, o paggamit sa usa ka matang sa mga kahuyangan sa mga protocol sa cryptographic.
Usa ka hulagway sa mga hulga sa network sa atong panahon
Pagkat-on sa makina
Hibal-i ang teknolohiya sa personal! Sa wala pa maghisgot kung giunsa ang teknolohiya sa decryption nga nakabase sa pagkat-on sa makina mismo molihok, kinahanglan nga masabtan kung giunsa ang teknolohiya sa neural network molihok.
Ang Pagkat-on sa Machine kay usa ka halapad nga subseksyon sa artificial intelligence nga nagtuon sa mga pamaagi sa paghimo og mga algorithm nga makakat-on. Kini nga siyensya gitumong sa paghimo sa mga modelo sa matematika alang sa "pagbansay" sa usa ka kompyuter. Ang katuyoan sa pagkat-on mao ang pagtagna sa usa ka butang. Sa pagsabot sa tawo, gitawag nato kini nga proseso nga pulong "kaalam". Ang kaalam nagpakita sa kaugalingon sa mga tawo nga nabuhi sa dugay nga panahon (ang 2-anyos nga bata dili mahimong maalamon). Kung modangup sa mga senior nga kauban alang sa tambag, hatagan namon sila pipila ka kasayuran bahin sa panghitabo (input data) ug mangayo sila og tabang. Sila, sa baylo, nahinumdom sa tanan nga mga sitwasyon gikan sa kinabuhi nga sa usa ka paagi nga may kalabutan sa imong problema (kahibalo base) ug, base sa niini nga kahibalo (data), sa paghatag kanato sa usa ka matang sa panagna (tambag). Kini nga matang sa tambag nagsugod nga gitawag nga panagna tungod kay ang tawo nga naghatag sa tambag wala mahibal-an kung unsa ang mahitabo, apan naghunahuna lamang. Ang kasinatian sa kinabuhi nagpakita nga ang usa ka tawo mahimong husto, o siya mahimong masayop.
Dili nimo ikumpara ang mga neural network sa branching algorithm (kung-uban pa). Lahi kini nga mga butang ug adunay hinungdanon nga mga kalainan. Ang branching algorithm adunay klaro nga "pagsabot" kung unsa ang buhaton. Akong ipakita uban ang mga pananglitan.
Buluhaton. Tinoa ang gilay-on sa braking sa usa ka sakyanan base sa paghimo niini ug tuig sa paghimo.
Usa ka pananglitan sa branching algorithm. Kon ang usa ka sakyanan kay brand 1 ug gipagawas niadtong 2012, ang braking distance niini maoy 10 metros, kon dili, kon brand 2 ang sakyanan ug gipagawas niadtong 2011, ug uban pa.
Usa ka pananglitan sa usa ka neural network. Gikolekta namo ang datos sa gilay-on sa pagpreno sa sakyanan sa miaging 20 ka tuig. Pinaagi sa paghimo ug tuig, nag-compile kami og usa ka lamesa sa porma nga "make-year of manufacturing-braking distance". Gi-isyu namo kini nga lamesa sa neural network ug nagsugod sa pagtudlo niini. Ang pagbansay gihimo ingon sa mosunod: gipakaon namo ang datos sa neural network, apan walay dalan sa pagpreno. Gisulayan sa neuron nga matagna kung unsa ang gilay-on sa pagpreno ibase sa lamesa nga gikarga niini. Nagtagna ug usa ka butang ug nangutana sa tiggamit og "Husto ba ko?" Sa wala pa ang pangutana, naghimo siya og ikaupat nga kolum, ang kolum sa pagtag-an. Kon husto siya, unya mosulat siyag 1 sa ikaupat nga kolum; kon sayop siya, mosulat siyag 0. Ang neural network mopadayon ngadto sa sunod nga panghitabo (bisan kon kini nasayop). Ingon niini ang pagkat-on sa network ug kung nahuman na ang pagbansay (naabot na ang usa ka piho nga sukaranan sa convergence), nagsumite kami mga datos bahin sa awto nga among interesado ug sa katapusan nakakuha usa ka tubag.
Aron matangtang ang pangutana bahin sa convergence criterion, akong ipasabot nga kini usa ka mathematically derived formula para sa statistics. Usa ka talagsaong pananglitan sa duha ka lain-laing mga pormula sa convergence. Pula - binary convergence, asul - normal nga convergence.
Binomial ug normal nga probability distribution
Aron mas klaro, pangutan-a ang pangutana nga "Unsa ang posibilidad nga makit-an ang usa ka dinosaur?" Adunay 2 ka posible nga tubag dinhi. Opsyon 1 β gamay kaayo (asul nga graph). Opsyon 2 β usa ka miting o dili (pula nga graph).
Siyempre, ang kompyuter dili usa ka tawo ug lahi ang pagkat-on niini. Adunay 2 ka matang sa pagbansay sa puthaw nga kabayo: case-based nga pagkat-on ΠΈ deductive nga pagkat-on.
Ang pagtudlo pinaagi sa pasiuna usa ka paagi sa pagtudlo gamit ang mga balaod sa matematika. Gikolekta sa mga matematiko ang mga lamesa sa estadistika, paghimog mga konklusyon ug gikarga ang resulta sa neural network - usa ka pormula alang sa pagkalkula.
Deductive nga pagkat-on - ang pagkat-on hingpit nga mahitabo sa neuron (gikan sa pagkolekta sa datos hangtod sa pagtuki niini). Dinhi ang usa ka lamesa naporma nga walay pormula, apan adunay mga estadistika.
Ang usa ka halapad nga pagtan-aw sa teknolohiya magkinahanglan usa pa nga duha ka dosena nga mga artikulo. Sa pagkakaron, igo na kini sa atong kinatibuk-ang pagsabot.
Neuroplasticity
Sa biology adunay ingon nga konsepto - neuroplasticity. Ang neuroplasticity mao ang abilidad sa mga neuron (mga selula sa utok) sa paglihok "sumala sa sitwasyon." Pananglitan, ang usa ka tawo nga nawad-an sa iyang panan-aw makadungog sa mga tingog, baho ug mas maayo nga mabati ang mga butang. Nahitabo kini tungod sa kamatuoran nga ang bahin sa utok (bahin sa mga neuron) nga responsable sa panan-aw nag-apod-apod pag-usab sa trabaho niini sa ubang mga gamit.
Usa ka talagsaong pananglitan sa neuroplasticity sa kinabuhi mao ang BrainPort lollipop.
Kaniadtong 2009, gipahibalo sa Unibersidad sa Wisconsin sa Madison ang pagpagawas sa usa ka bag-ong aparato nga nagpalambo sa mga ideya sa usa ka "display sa pinulongan" - kini gitawag nga BrainPort. Ang BrainPort nagtrabaho sumala sa mosunud nga algorithm: ang signal sa video gipadala gikan sa camera hangtod sa processor, nga nagkontrol sa zoom, kahayag ug uban pang mga parameter sa litrato. Gibag-o usab niini ang mga digital nga signal ngadto sa mga elektrikal nga impulses, nga hinungdanon nga gikuha ang mga gimbuhaton sa retina.
BrainPort lollipop nga adunay mga baso ug camera
BrainPort sa trabaho
Parehas sa kompyuter. Kung ang neural network makamatikod sa usa ka pagbag-o sa proseso, kini mopahiangay niini. Kini ang yawe nga bentaha sa mga neural network kumpara sa ubang mga algorithm - awtonomiya. Usa ka matang sa pagkatawhanon.
Na-encrypt nga Traffic Analytics
Ang Encrypted Traffic Analytics kabahin sa sistema sa Stealthwatch. Ang Stealthwatch mao ang pagsulod sa Cisco sa pag-monitor sa seguridad ug mga solusyon sa analitiko nga naggamit sa data sa telemetry sa negosyo gikan sa naa na nga imprastraktura sa network.
Ang Stealthwatch Enterprise gibase sa Flow Rate License, Flow Collector, Management Console ug Flow Sensor nga mga himan.
Interface sa Cisco Stealthwatch
Ang problema sa encryption nahimong grabe kaayo tungod sa kamatuoran nga mas daghang trapiko ang nagsugod sa pag-encrypt. Kaniadto, ang code ra ang na-encrypt (kadaghanan), apan karon ang tanan nga trapiko na-encrypt ug ang pagbulag sa "limpyo" nga datos gikan sa mga virus nahimong labi ka lisud. Usa ka talagsaong pananglitan mao ang WannaCry, nga migamit sa Tor aron itago ang presensya niini sa online.
Pagtan-aw sa pagtubo sa pag-encrypt sa trapiko sa network
Pag-encrypt sa macroeconomics
Ang Encrypted Traffic Analytics (ETA) nga sistema gikinahanglan sa tukma alang sa pagtrabaho uban sa encrypted nga trapiko nga walay decrypting niini. Ang mga tig-atake intelihente ug naggamit sa crypto-resistant encryption algorithm, ug ang pagbungkag niini dili lamang usa ka problema, apan labi ka mahal alang sa mga organisasyon.
Ang sistema naglihok sama sa mosunod. Ang pipila ka trapiko moabut sa kompanya. Nahulog kini sa TLS (transport layer security). Ingnon ta nga ang trapiko gi-encrypt. Kami naningkamot sa pagtubag sa daghang mga pangutana mahitungod sa unsa nga matang sa koneksyon ang gihimo.
Giunsa ang Encrypted Traffic Analytics (ETA) nga sistema nagtrabaho
Aron matubag kini nga mga pangutana gigamit namon ang pagkat-on sa makina sa kini nga sistema. Ang panukiduki gikan sa Cisco gikuha ug base sa kini nga mga pagtuon usa ka lamesa ang gihimo gikan sa 2 nga mga resulta - makadaot ug "maayo" nga trapiko. Siyempre, wala kami mahibal-an nga sigurado kung unsang klase sa trapiko ang nakasulod sa sistema direkta sa karon nga panahon, apan masubay namon ang kasaysayan sa trapiko sa sulod ug gawas sa kompanya gamit ang datos gikan sa yugto sa kalibutan. Sa pagtapos sa kini nga yugto, nakakuha kami usa ka dako nga lamesa nga adunay datos.
Pinasukad sa mga resulta sa pagtuon, giila ang mga kinaiya nga bahin - pipila nga mga lagda nga mahimong isulat sa porma sa matematika. Kini nga mga lagda magkalainlain kaayo depende sa lainlaing mga pamatasan - ang gidak-on sa gibalhin nga mga file, ang tipo sa koneksyon, ang nasud nga gigikanan niini nga trapiko, ug uban pa. Ingon usa ka sangputanan sa trabaho, ang dako nga lamesa nahimo nga usa ka hugpong sa mga pundok sa mga pormula. Adunay mas gamay kanila, apan kini dili igo alang sa komportable nga trabaho.
Sunod, gipadapat ang teknolohiya sa pagkat-on sa makina - convergence sa pormula ug base sa resulta sa convergence makakuha kita og trigger - usa ka switch, diin kung ang data ma-output makakuha kita og switch (flag) sa gipataas o gipaubos nga posisyon.
Ang resulta nga yugto mao ang pagkuha sa usa ka set sa mga trigger nga nagtabon sa 99% sa trapiko.
Mga lakang sa inspeksyon sa trapiko sa ETA
Ingon usa ka sangputanan sa trabaho, usa pa nga problema ang nasulbad - usa ka pag-atake gikan sa sulod. Wala na kinahanglana ang mga tawo sa tunga nga pagsala sa trapiko nga mano-mano (gilumos ko ang akong kaugalingon niining puntoha). Una, dili na nimo kinahanglan nga mogasto og daghang salapi sa usa ka takus nga tagdumala sa sistema (nagpadayon ako sa pagkalumos sa akong kaugalingon). Ikaduha, walaβy peligro sa pag-hack gikan sa sulod (labing menos partially).
Karaan nga Konsepto sa Tawo-sa-Tunga-tunga
Karon, atong mahibal-an kung unsa ang gibase sa sistema.
Ang sistema naglihok sa 4 nga mga protocol sa komunikasyon: TCP/IP - Internet data transfer protocol, DNS - domain name server, TLS - transport layer security protocol, SPLT (SpaceWire Physical Layer Tester) - physical communication layer tester.
Mga protocol nga nagtrabaho kauban ang ETA
Ang pagtandi gihimo pinaagi sa pagtandi sa datos. Gamit ang mga protocol sa TCP/IP, ang reputasyon sa mga site gisusi (pagbisita sa kasaysayan, katuyoan sa paghimo sa site, ug uban pa), salamat sa DNS protocol, mahimo natong isalikway ang "dili maayo" nga mga adres sa site. Ang TLS protocol nagtrabaho sa fingerprint sa usa ka site ug nagpamatuod sa site batok sa usa ka computer emergency response team (cert). Ang katapusang lakang sa pagsusi sa koneksyon mao ang pagsusi sa pisikal nga lebel. Ang mga detalye niini nga yugto wala gipiho, apan ang punto mao ang mosunod: pagsusi sa sine ug cosine curves sa data transmission curves sa oscillographic installations, i.e. Salamat sa istruktura sa hangyo sa pisikal nga layer, among gitino ang katuyoan sa koneksyon.
Ingon usa ka sangputanan sa operasyon sa sistema, makakuha kami mga datos gikan sa naka-encrypt nga trapiko. Pinaagi sa pag-usisa sa mga packet, makabasa kita og daghang impormasyon kutob sa mahimo gikan sa wala ma-encrypt nga mga field sa packet mismo. Pinaagi sa pag-inspeksyon sa pakete sa pisikal nga layer, atong mahibal-an ang mga kinaiya sa pakete (partially o hingpit). Usab, ayaw kalimti ang bahin sa reputasyon sa mga site. Kung ang hangyo gikan sa usa ka tinubdan sa .sibuyas, dili ka angay mosalig niini. Aron mas dali ang pagtrabaho sa kini nga matang sa datos, usa ka mapa sa peligro ang gihimo.
Resulta sa trabaho ni ETA
Ug ang tanan ingon og maayo, apan hisgutan naton ang bahin sa pag-deploy sa network.
Pisikal nga pagpatuman sa ETA
Daghang mga nuances ug subtleties ang mitungha dinhi. Una, sa paghimo niini nga matang sa
mga network nga adunay taas nga lebel nga software, gikinahanglan ang pagkolekta sa datos. Pagkolekta sa datos nga mano-mano sa hingpit
ihalas, apan ang pagpatuman sa usa ka sistema sa pagtubag mas makapaikag. Ikaduha, ang datos
kinahanglan adunay daghan, nga nagpasabut nga ang mga na-install nga mga sensor sa network kinahanglan molihok
dili lamang awtonomiya, apan usab sa usa ka maayo nga tono mode, nga nagmugna sa usa ka gidaghanon sa mga kalisdanan.
Mga sensor ug sistema sa Stealthwatch
Ang pag-instalar sa usa ka sensor usa ka butang, apan ang pag-set up niini usa ka lahi nga buluhaton. Aron ma-configure ang mga sensor, adunay usa ka komplikado nga naglihok sumala sa mosunod nga topology - ISR = Cisco Integrated Services Router; ASR = Cisco Aggregation Services Router; CSR = Cisco Cloud Services Router; WLC = Cisco Wireless LAN Controller; IE = Cisco Industrial Ethernet Switch; ASA = Cisco Adaptive Security Appliance; FTD = Cisco Firepower Threat Defense Solution; WSA = Web Security Appliance; ISE = Identity Services Engine
Komprehensibo nga pag-monitor nga gikonsiderar ang bisan unsang telemetric data
Ang mga tagdumala sa network nagsugod sa pagsinati sa arrhythmia gikan sa gidaghanon sa mga pulong nga "Cisco" sa miaging parapo. Ang bili niini nga milagro dili gamay, apan dili kana ang atong gihisgutan karon...
Ang pamatasan sa hacker mahimong modelo sama sa mosunod. Gibantayan pag-ayo sa Stealthwatch ang kalihokan sa matag aparato sa network ug makahimo og sumbanan sa normal nga pamatasan. Dugang pa, kini nga solusyon naghatag ug lawom nga panabut sa nahibal-an nga dili angay nga pamatasan. Ang solusyon naggamit sa gibana-bana nga 100 ka lain-laing mga algorithm sa pag-analisa o heuristics nga nagtubag sa lain-laing mga matang sa kinaiya sa trapiko sama sa pag-scan, host alarm frames, brute-force logins, gidudahang data capture, gidudahang data leakage, ug uban pa. Ang mga panghitabo sa seguridad nga gilista nahulog ubos sa kategorya sa taas nga lebel nga lohikal nga mga alarma. Ang ubang mga panghitabo sa seguridad mahimo usab nga magpahinabog alarma sa ilang kaugalingon. Sa ingon, ang sistema makahimo sa pag-correlate sa daghang nahilit nga anomalous nga mga insidente ug gihiusa kini aron mahibal-an ang posible nga matang sa pag-atake, ingon man usab ang pag-link niini sa usa ka piho nga aparato ug tiggamit (Figure 2). Sa umaabot, ang insidente mahimong tun-an sa paglabay sa panahon ug tagdon ang kaubang telemetry data. Kini naglangkob sa kontekstwal nga impormasyon sa labing maayo niini. Ang mga doktor nga nagsusi sa usa ka pasyente aron masabtan kung unsa ang sayup wala magtan-aw sa mga sintomas nga nag-inusara. Gitan-aw nila ang dako nga hulagway aron makahimo og diagnosis. Ingon usab, nakuha sa Stealthwatch ang matag anomaliya nga kalihokan sa network ug gisusi kini sa kinatibuk-an aron magpadala mga alarma nga nahibal-an sa konteksto, sa ingon nagtabang sa mga propesyonal sa seguridad nga unahon ang mga peligro.
Pagsusi sa anomaliya gamit ang pagmodelo sa pamatasan
Ang pisikal nga pag-deploy sa network ingon niini:
Opsyon sa pag-deploy sa network sa sanga (gipasimple)
Opsyon sa pag-deploy sa network sa sanga
Ang network na-deploy na, apan ang pangutana bahin sa neuron nagpabiling bukas. Nag-organisar sila usa ka network sa transmission data, nag-install sa mga sensor sa mga threshold ug naglansad usa ka sistema sa pagkolekta sa kasayuran, apan ang neuron wala moapil sa kini nga butang. Bye.
Multilayer nga neural network
Ang sistema nag-analisa sa pamatasan sa gumagamit ug aparato aron mahibal-an ang mga makadaot nga impeksyon, komunikasyon sa mga command ug control server, mga pagtulo sa datos, ug posible nga dili gusto nga mga aplikasyon nga nagdagan sa imprastraktura sa organisasyon. Adunay daghang mga layer sa pagproseso sa datos diin ang kombinasyon sa artipisyal nga paniktik, pagkat-on sa makina, ug mga pamaagi sa istatistika sa matematika makatabang sa network nga makat-on sa kaugalingon ang normal nga kalihokan niini aron kini makamatikod sa makadaot nga kalihokan.
Ang network security analysis pipeline, nga nagkolekta sa telemetry data gikan sa tanang bahin sa gipalapdan nga network, lakip ang naka-encrypt nga trapiko, usa ka talagsaon nga bahin sa Stealthwatch. Kini hinayhinay nga nagpalambo sa usa ka pagsabut kung unsa ang "anomalous," dayon giklasipikar ang aktuwal nga indibidwal nga mga elemento sa "kalihokan sa hulga," ug sa katapusan naghimo sa usa ka katapusan nga paghukom kung ang aparato o tiggamit ba gyud nakompromiso. Ang abilidad sa paghugpong sa gagmay nga mga piraso nga maghiusa sa pagporma sa ebidensya aron makahimo usa ka katapusang desisyon bahin sa kung ang usa ka asset nakompromiso ba moabut pinaagi sa mabinantayon nga pag-analisar ug correlation.
Importante kini nga abilidad tungod kay ang usa ka kasagaran nga negosyo mahimong makadawat og daghang mga alarma kada adlaw, ug imposible nga imbestigahan ang matag usa tungod kay ang mga propesyonal sa seguridad adunay limitado nga mga kapanguhaan. Ang module sa pagkat-on sa makina nagproseso sa daghang kasayuran sa hapit sa tinuud nga oras aron mahibal-an ang mga kritikal nga insidente nga adunay taas nga lebel sa pagsalig, ug makahatag usab klaro nga mga kurso sa aksyon alang sa paspas nga resolusyon.
Atong tan-awon pag-ayo ang daghang mga teknik sa pagkat-on sa makina nga gigamit sa Stealthwatch. Kung ang usa ka insidente gisumite sa makina sa pagkat-on sa makina sa Stealthwatch, moagi kini sa usa ka funnel sa pagtuki sa seguridad nga naggamit usa ka kombinasyon sa mga teknik sa pagkat-on sa makina nga gibantayan ug wala gibantayan.
Multi-level nga mga kapabilidad sa pagkat-on sa makina
Level 1. Pagsusi sa anomaliya ug pagmodelo sa pagsalig
Niini nga lebel, 99% sa trapiko gilabay gamit ang statistical anomaly detectors. Kini nga mga sensor managsama nga nagporma mga komplikado nga mga modelo kung unsa ang normal ug kung unsa, sa kasukwahi, dili normal. Bisan pa, ang abnormal dili kinahanglan nga makadaot. Daghan sa nanghitabo sa imong network walay kalabotan sa hulgaβkatingad-an lang. Importante ang pagklasipikar sa maong mga proseso nga walay pagtagad sa mahulgaon nga kinaiya. Tungod niini nga rason, ang mga resulta sa maong mga detector dugang nga pag-analisar aron makuha ang katingad-an nga kinaiya nga mahimong ipasabut ug kasaligan. Sa katapusan, gamay ra nga bahin sa labing hinungdanon nga mga hilo ug mga hangyo ang nakaabut sa layer 2 ug 3. Kung wala ang paggamit sa ingon nga mga pamaagi sa pagkat-on sa makina, ang gasto sa operasyon sa pagbulag sa signal gikan sa kasaba mahimong labi ka taas.
Pagsusi sa anomaliya. Ang una nga lakang sa pagtuki sa anomaliya naggamit sa mga pamaagi sa pagkat-on sa makina sa istatistika aron mabulag ang normal nga trapiko sa istatistika gikan sa dili normal nga trapiko. Labaw sa 70 ka indibidwal nga mga detector ang nagproseso sa telemetry data nga nakolekta sa Stealthwatch sa trapiko nga moagi sa imong network perimeter, nga nagbulag sa internal nga Domain Name System (DNS) nga trapiko gikan sa proxy server data, kung aduna man. Ang matag hangyo giproseso sa labaw pa sa 70 ka mga detector, nga ang matag detector naggamit sa iyang kaugalingon nga statistical algorithm aron maporma ang usa ka pagsusi sa nakita nga mga anomaliya. Kini nga mga marka gihiusa ug daghang mga pamaagi sa istatistika ang gigamit aron makahimo usa ka puntos alang sa matag indibidwal nga pangutana. Kini nga aggregate score gigamit dayon sa pagbulag sa normal ug anomalous nga trapiko.
Pagsalig sa modelo. Sunod, ang susama nga mga hangyo gi-grupo, ug ang aggregate nga anomaliya nga marka alang sa maong mga grupo gitino isip usa ka long-term average. Sa paglabay sa panahon, daghang mga pangutana ang gi-analisa aron mahibal-an ang dugay nga average, sa ingon makunhuran ang mga sayup nga positibo ug sayup nga mga negatibo. Ang mga resulta sa pagmodelo sa pagsalig gigamit sa pagpili sa usa ka subset sa trapiko kansang anomaliya nga marka milapas sa pipila ka dinamikong gitino nga threshold aron mobalhin sa sunod nga lebel sa pagproseso.
Level 2. Klasipikasyon sa panghitabo ug pagmodelo sa butang
Sa kini nga lebel, ang mga resulta nga nakuha sa miaging mga yugto giklasipikar ug gi-assign sa piho nga makadaot nga mga panghitabo. Giklasipikar ang mga panghitabo base sa kantidad nga gihatag sa mga klasipikasyon sa pagkat-on sa makina aron masiguro ang makanunayon nga rate sa katukma nga labaw sa 90%. Lakip kanila:
- linear nga mga modelo base sa Neyman-Pearson lemma (ang balaod sa normal nga distribution gikan sa graph sa sinugdanan sa artikulo)
- pagsuporta sa mga makina sa vector gamit ang multivariate nga pagkat-on
- neural network ug ang random nga algorithm sa kalasangan.
Kining nahilit nga mga panghitabo sa seguridad nalangkit sa usa ka endpoint sa paglabay sa panahon. Niini nga yugto nga ang usa ka paghulagway sa hulga naporma, pinasukad kung diin ang usa ka kompleto nga litrato gihimo kung giunsa ang may kalabutan nga tig-atake nakahimo sa pagkab-ot sa pipila nga mga sangputanan.
Klasipikasyon sa mga panghitabo. Ang estadistika anomalous nga subset gikan sa miaging lebel giapod-apod ngadto sa 100 o labaw pa nga mga kategorya gamit ang mga classifier. Kadaghanan sa mga klasipikasyon gibase sa indibidwal nga kinaiya, grupo nga mga relasyon, o kinaiya sa usa ka global o lokal nga sukod, samtang ang uban mahimong piho kaayo. Pananglitan, ang classifier mahimong magpakita sa trapiko sa C&C, usa ka kadudahan nga extension, o usa ka dili awtorisado nga pag-update sa software. Pinasukad sa mga sangputanan sa kini nga yugto, usa ka hugpong sa mga anomaliya nga panghitabo sa sistema sa seguridad, nga giklasipikar sa pipila nga mga kategorya, naporma.
Pagmodelo sa butang. Kung ang kantidad sa ebidensya nga nagsuporta sa pangagpas nga ang usa ka partikular nga butang makadaot kay sa sukaranan sa materyalidad, usa ka hulga ang matino. Ang may kalabutan nga mga panghitabo nga nakaimpluwensya sa kahulugan sa usa ka hulga gilambigit sa ingon nga hulga ug nahimong bahin sa usa ka discrete long-term nga modelo sa butang. Samtang ang ebidensya nagtigum sa paglabay sa panahon, ang sistema nagpaila sa bag-ong mga hulga kung ang materyalidad nga threshold maabot. Kini nga kantidad sa threshold dinamiko ug intelihenteng gi-adjust base sa lebel sa peligro sa hulga ug uban pang mga hinungdan. Pagkahuman niini, ang hulga makita sa panel sa impormasyon sa web interface ug gibalhin sa sunod nga lebel.
Level 3. Pagmodelo sa Relasyon
Ang katuyoan sa pagmodelo sa relasyon mao ang pag-synthesize sa mga resulta nga nakuha sa miaging mga lebel gikan sa usa ka global nga panan-aw, nga gikonsiderar dili lamang ang lokal apan usab ang global nga konteksto sa may kalabutan nga insidente. Niini nga yugto nga imong mahibal-an kung pila ka mga organisasyon ang nakasugat sa ingon nga pag-atake aron masabtan kung kini gitumong ba kanimo o bahin sa usa ka global nga kampanya, ug nasakpan ka.
Ang mga insidente gikumpirma o nadiskobrehan. Ang usa ka napamatud-an nga insidente nagpasabut sa 99 hangtod 100% nga pagsalig tungod kay ang mga kauban nga mga teknik ug mga himan kaniadto naobserbahan sa aksyon sa usa ka mas dako (global) nga sukod. Ang mga insidente nga nakit-an talagsaon kanimo ug nahimo nga bahin sa usa ka gipunting nga kampanya. Ang mga nangagi nga mga nakit-an gipaambit sa usa ka nahibal-an nga kurso sa aksyon, nga makatipig kanimo oras ug mga kapanguhaan agig tubag. Nag-uban sila sa mga himan sa pag-imbestiga nga kinahanglan nimo nga masabtan kung kinsa ang nag-atake kanimo ug ang gidak-on nga gipunting sa kampanya ang imong digital nga negosyo. Sama sa imong mahanduraw, ang gidaghanon sa mga nakumpirma nga mga insidente labaw pa sa gidaghanon sa mga nakit-an tungod sa yano nga rason nga ang mga nakumpirma nga mga insidente wala mag-apil sa daghang gasto sa mga tig-atake, samtang ang mga nakit-an nga mga insidente.
mahal tungod kay kinahanglan sila nga bag-o ug ipasadya. Pinaagi sa paghimo sa abilidad sa pag-ila sa nakumpirma nga mga insidente, ang ekonomiya sa dula sa katapusan mibalhin pabor sa mga tigdepensa, nga naghatag kanila og lahi nga bentaha.
Multi-level nga pagbansay sa usa ka sistema sa koneksyon sa neural base sa ETA
Global nga mapa sa peligro
Ang global nga mapa sa peligro gihimo pinaagi sa pagtuki nga gipadapat sa mga algorithm sa pagkat-on sa makina sa usa sa labing kadaghan nga mga datos sa klase niini sa industriya. Naghatag kini daghang mga istatistika sa pamatasan bahin sa mga server sa Internet, bisan kung wala sila nahibal-an. Ang maong mga server nalangkit sa mga pag-atake ug mahimong maapil o magamit isip bahin sa pag-atake sa umaabot. Dili kini usa ka "blacklist", apan usa ka komprehensibo nga litrato sa server nga gipangutana gikan sa usa ka punto sa seguridad. Kini nga impormasyon sa konteksto bahin sa kalihokan sa kini nga mga server nagtugot sa mga detektor sa pagkat-on sa makina sa Stealthwatch ug mga classifier nga tukma nga matagna ang lebel sa peligro nga may kalabotan sa mga komunikasyon sa ingon nga mga server.
Mahimo nimong tan-awon ang mga magamit nga kard .
Mapa sa kalibutan nga nagpakita sa 460 milyon nga mga adres sa IP
Karon ang network nakakat-on ug nagbarug aron mapanalipdan ang imong network.
Sa katapusan, usa ka panacea ang nakit-an?
Makasubo dili. Gikan sa kasinatian nga nagtrabaho kauban ang sistema, makaingon ako nga adunay 2 nga mga problema sa kalibutan.
Problema 1. Presyo. Ang tibuok network kay na-deploy sa Cisco system. Kini maayo ug daotan. Ang maayo nga bahin mao nga dili ka kinahanglan nga magsamok ug mag-install sa usa ka hugpong sa mga plugs sama sa D-Link, MikroTik, ug uban pa. Ang downside mao ang dako nga gasto sa sistema. Gikonsiderar ang kahimtang sa ekonomiya sa negosyo sa Russia, sa karon nga panahon ang usa ka adunahan nga tag-iya sa usa ka dako nga kompanya o bangko ang makahimo niini nga milagro.
Problema 2: Paghanas. Wala nako isulat sa artikulo ang panahon sa pagbansay alang sa neural network, apan dili tungod kay wala kini, apan tungod kay kini nagkat-on sa tanang panahon ug dili nato matag-an kung kanus-a kini makakat-on. Siyempre, adunay mga himan sa estadistika sa matematika (kuhaa ang parehas nga pormulasyon sa kriterya sa convergence sa Pearson), apan kini mga tunga nga sukod. Nakuha namon ang posibilidad sa pagsala sa trapiko, ug bisan pa sa ilawom sa kondisyon nga ang pag-atake nahibal-an na ug nahibal-an na.
Bisan pa sa kini nga mga problema sa 2, nakahimo kami usa ka dako nga paglukso sa pagpauswag sa seguridad sa kasayuran sa kinatibuk-an ug labi na ang pagpanalipod sa network. Kini nga kamatuoran mahimong makapadasig alang sa pagtuon sa mga teknolohiya sa network ug mga neural network, nga karon usa ka maayong direksyon.
Source: www.habr.com