Un sistema per analizà u trafficu senza decifrallu. Stu metudu hè simplicemente chjamatu "apprendimentu machine". Hè risultatu chì, se un voluminu assai grande di trafficu variu hè alimentatu à l'input di un classificatore speciale, u sistema pò detectà l'azzioni di codice maliziusu in u trafficu criptatu cù un altu gradu di probabilità.
E minacce in linea sò cambiate è diventate più intelligenti. Ricertamenti, u cuncettu stessu di attaccu è difesa hè cambiatu. U numaru di avvenimenti nantu à a reta hè aumentatu significativamente. L'attacchi sò diventati più sofisticati è i pirate anu una portata più larga.
Sicondu statistiche di Cisco, l'annu passatu, l'attaccanti anu triplicatu u numeru di malware chì utilizanu per e so attività, o megliu, criptu per ammuccià. Hè cunnisciutu da a teoria chì l'algoritmu di criptografia "correttu" ùn pò micca esse rottu. Per capisce ciò chì hè ammucciatu in u trafficu criptatu, hè necessariu di decifrarà a cunniscenza di a chjave, o pruvate di decifrare cù diversi trucchi, o pirate direttamente, o utilizendu qualchì tipu di vulnerabilità in protokolli criptografici.
Una stampa di e minacce di a rete di u nostru tempu
Imparà in macchina
Sapete a tecnulugia in persona! Prima di parlà di cumu funziona a tecnulugia di decifrazione basata in l'apprendimentu di a machina stessu, hè necessariu capisce cumu funziona a tecnulugia di a rete neurale.
Machine Learning hè una larga subsezione di l'intelligenza artificiale chì studia i metudi per custruisce algoritmi chì ponu amparà. Sta scienza hè destinata à creà mudelli matematichi per "furmà" un urdinatore. U scopu di amparà hè di predichendu qualcosa. In l'intelligenza umana, chjamemu stu prucessu a parolla "sapienza". A saviezza si manifesta in e persone chì anu campatu per un bellu pezzu (un zitellu di 2 anni ùn pò esse sàviu). Quandu si vultò à i camaradi anziani per cunsiglii, li demu qualchì infurmazione nantu à l'avvenimentu (dati di input) è li dumandemu aiutu. Iddi, à u turnu, ricurdate tutte e situazioni da a vita chì sò in qualchì manera ligata à u vostru prublema (basa di cunniscenza) è, basatu annantu à sta cunniscenza (dati), ci danu un tipu di prediczione (cunsiglii). Stu tipu di cunsigliu hà cuminciatu à esse chjamatu predizione perchè a persona chì dà i cunsiglii ùn sapi micca sicuru chì succede, ma solu assume. A sperienza di vita mostra chì una persona pò esse ghjustu, o pò esse sbagliata.
Ùn avete micca paragunate e rete neurali cù l'algoritmu di ramificazione (se altri). Quessi sò cose diverse è ci sò differenzi chjave. L'algoritmu di branching hà una "comprensione" chjara di ciò chì deve fà. Dimustraraghju cù esempii.
Task. Determina a distanza di frenu di una vittura basatu annantu à a so marca è l'annu di fabricazione.
Un esempiu di l'algoritmu di branching. Se una vittura hè a marca 1 è hè stata liberata in u 2012, a so distanza di frenu hè di 10 metri, altrimenti, se a vittura hè a marca 2 è hè stata liberata in u 2011, è cusì.
Un esempiu di una rete neurale. Raccogliamu dati nantu à e distanze di frenu di vittura in l'ultimi 20 anni. Per marca è annu, compilamu una tabella di a forma "fabrica-annu di distanza di fabricazione-frenata". Emettemu sta tavola à a rete neurale è cuminciamu à insignà. L'addestramentu hè realizatu cum'è seguitu: avemu alimentatu dati à a rete neurale, ma senza una strada di frenu. U neurone prova di predichendu ciò chì a distanza di frenu serà basatu annantu à a tavola caricata in questu. Predice qualcosa è dumanda à l'utilizatore "Sò ghjustu?" Prima di a quistione, crea una quarta colonna, a colonna guessing. S'ellu hè ghjustu, allora scrive 1 in a quarta colonna, s'ellu hè sbagliatu, scrive 0. A rete neurale passa à u prossimu avvenimentu (ancu s'ellu hà fattu un sbagliu). Hè cusì chì a reta s'aprende è quandu a furmazione hè finita (un certu criteriu di cunvergenza hè statu ghjuntu), sottumettemu dati nantu à a vittura chì ci interessa è infine ottene una risposta.
Per sguassà a quistione di u criteriu di cunvergenza, spiegheraghju chì questa hè una formula matematicamente derivata per statistiche. Un esempiu impressiunanti di duie formule di cunvergenza sfarente. Rossu - cunvergenza binaria, blu - cunvergenza normale.
Distribuzione di probabilità binomiale è normale
Per fà più chjaru, fate a quistione "Quale hè a probabilità di scuntrà un dinosauru?" Ci sò 2 risposte pussibuli quì. Opzione 1 - assai chjucu (graficu blu). Opzione 2 - sia una riunione o micca (graficu rossu).
Di sicuru, un urdinatore ùn hè micca una persona è ampara di manera diversa. Ci hè 2 tipi di furmazione di cavalli di ferru: apprendimentu basatu in casu и apprendimentu deduttivu.
L'insignamentu per precedente hè un modu d'insignamentu cù e lege matematiche. I matematichi cullighjanu tabelle di statistiche, tiranu cunclusioni è caricanu u risultatu in a rete neurale - una formula per u calculu.
Apprendimentu deduttivu - l'apprendimentu si trova interamente in u neurone (da a cullizzioni di dati à a so analisi). Quì una tavula hè furmatu senza una formula, ma cù statistiche.
Una panoramica larga di a tecnulugia piglià un altru paru di duzina d'articuli. Per avà, questu serà abbastanza per a nostra intelligenza generale.
Neuroplasticità
In biologia ci hè un tali cuncettu - neuroplasticità. A neuroplasticità hè a capacità di i neuroni (cellule cerebrali) per agisce "secondu a situazione". Per esempiu, una persona chì hà persu a vista sente u sonu, l'odore è l'ogetti sensi megliu. Questu hè dovutu à u fattu chì a parte di u cervellu (parti di i neuroni) rispunsevuli di a visione redistribuisce u so travagliu à altre funziunalità.
Un esempiu impressionante di neuroplasticità in a vita hè u lollipop BrainPort.
In u 2009, l'Università di Wisconsin à Madison hà annunziatu a liberazione di un novu dispositivu chì hà sviluppatu l'idee di una "visualizazione di lingua" - era chjamatu BrainPort. BrainPort funziona secondu l'algoritmu seguente: u signale video hè mandatu da a camera à u processatore, chì cuntrolla zoom, luminosità è altri paràmetri di stampa. Cunverte ancu i signali digitali in impulsi elettrici, essenzialmente ripigliendu e funzioni di a retina.
Lollipop BrainPort cù occhiali è camera
BrainPort à u travagliu
U listessu cù un urdinatore. Se a rete neurale sente un cambiamentu in u prucessu, si adatta à questu. Questu hè u vantaghju chjave di e rete neurali cumparatu cù altri algoritmi - l'autonomia. Un tipu d'umanità.
Analisi di u trafficu criptatu
L'Analytics Traffic Encrypted hè parti di u sistema Stealthwatch. Stealthwatch hè l'entrata di Cisco in soluzioni di monitoraghju è analisi di sicurezza chì sfrutta i dati di telemetria di l'impresa da l'infrastruttura di rete esistente.
Stealthwatch Enterprise hè basatu annantu à a Licenza di u Flussu, u Collettore di Flussu, a Consola di Gestione è l'arnesi di Sensore di Flussu.
Interfaccia Cisco Stealthwatch
U prublema cù a criptografia hè diventata assai aguda per u fattu chì assai più trafficu hà cuminciatu à esse criptatu. Prima, solu u codice era criptatu (principalmente), ma avà tuttu u trafficu hè criptatu è separà e dati "puliti" da i virus hè diventatu assai più difficiule. Un esempiu impressionante hè WannaCry, chì hà utilizatu Tor per ammuccià a so presenza in linea.
Visualizazione di a crescita di a criptografia di u trafficu nantu à a reta
Cifratura in macroeconomia
U sistema di Analytics Traffic Encrypted (ETA) hè necessariu precisamente per travaglià cù u trafficu cifratu senza decifratu. L'attaccanti sò intelligenti è utilizanu algoritmi di criptografia resistenti à a criptografia, è rompelli ùn hè micca solu un prublema, ma ancu estremamente caru per l'urganisazione.
U sistema travaglia cum'è seguita. Qualchì trafficu vene à a cumpagnia. Hè cascatu in TLS (securità di a capa di trasportu). Diciamu chì u trafficu hè criptatu. Cerchemu di risponde à una quantità di dumande nantu à quale tipu di cunnessione hè stata fatta.
Cumu funziona u sistema di Traffic Encrypted Analytics (ETA).
Per risponde à queste dumande usemu l'apprendimentu machine in stu sistema. A ricerca di Cisco hè presa è basatu annantu à questi studii una tavula hè creata da 2 risultati - trafficu maliziusu è "bonu". Di sicuru, ùn sapemu micca sicuru chì tipu di trafficu intrutu in u sistema direttamente à u mumentu attuale in u tempu, ma pudemu traccia a storia di u trafficu sia in l'internu sia fora di a cumpagnia utilizendu dati da a scena mundiale. À a fine di sta tappa, avemu un tavulu enormu cù dati.
Basatu nantu à i risultati di u studiu, sò identificati e caratteristiche caratteristiche - certe regule chì ponu esse scritte in forma matematica. Sti règuli varieranu assai sicondu i criterii diffirenti - a dimensione di i schedari trasferiti, u tipu di cunnessione, u paese da quale vene stu trafficu, etc. Cum'è u risultatu di u travagliu, a tavula enormosa hè diventata in un gruppu di formule. Ci sò menu di elli, ma questu ùn hè micca abbastanza per u travagliu còmode.
In seguitu, a tecnulugia di l'apprendimentu di a machina hè appiicata - a cunvergenza di a formula è basatu annantu à u risultatu di a cunvergenza avemu un trigger - un switch, induve quandu i dati sò in uscita avemu un switch (bandiera) in a pusizione elevata o calata.
A tappa risultatu hè ottene un settore di triggers chì copre u 99% di u trafficu.
Passi di l'ispezione di u trafficu in ETA
In u risultatu di u travagliu, un altru prublema hè risolta - un attaccu da l'internu. Ùn ci hè più bisognu di e persone in u centru di filtrazione di u trafficu manualmente (sò affucatu à questu puntu). Prima, ùn avete più bisognu di gastru assai soldi in un amministratore di sistema cumpetente (continuu à affucà). Siconda, ùn ci hè micca periculu di pirate da l'internu (almenu parzialmente).
Cuncepimentu di Man-in-the-Middle anticu
Avà, scopre ciò chì u sistema hè basatu.
U sistema opera nantu à 4 protokolli di cumunicazione: TCP / IP - Protokollu di trasferimentu di dati Internet, DNS - servitore di nomi di duminiu, TLS - protocolu di sicurezza di u trasportu, SPLT (SpaceWire Physical Layer Tester) - tester di strati di cumunicazione fisica.
Protocolli chì travaglianu cù ETA
A paraguna hè fatta da paragunà dati. Utilizendu i protokolli TCP / IP, a reputazione di i siti hè verificata (storia di visita, scopu di creà u situ, etc.), grazia à u protocolu DNS, pudemu scartà l'indirizzi di u situ "mali". U protocolu TLS travaglia cù l'impronta digitale di u situ è verificate u situ contr'à una squadra di risposta d'urgenza di computer (certificatu). L'ultimu passu in a verificazione di a cunnessione hè di verificà à u livellu fisicu. I ditagli di sta tappa ùn sò micca specificati, ma u puntu hè cusì: cuntrollà e curve sinus è cosenu di e curve di trasmissione di dati in installazioni oscillografica, i.e. Grazie à a struttura di a dumanda à a capa fisica, determinamu u scopu di a cunnessione.
In u risultatu di u funziunamentu di u sistema, pudemu ottene dati da u trafficu criptatu. Esaminendu i pacchetti, pudemu leghje quant'è più infurmazione pussibule da i campi micca criptati in u pacchettu stessu. Inspeccionendu u pacchettu à a strata fisica, truvamu e caratteristiche di u pacchettu (parzialmente o cumpletamente). Inoltre, ùn vi scurdate di a reputazione di i siti. Sè a dumanda hè vinutu da qualchi fonte .onion, ùn deve micca fiducia. Per fà più faciule di travaglià cù stu tipu di dati, hè stata creata una mappa di risichi.
Risultatu di u travagliu di ETA
È tuttu pare esse bè, ma parlemu di implementazione di a rete.
Implementazione fisica di ETA
Una quantità di sfumature è suttilità nascenu quì. Prima, quandu crea stu tipu
rete cù software d'altu livellu, a raccolta di dati hè necessaria. Raccoglie i dati manualmente completamente
salvaticu, ma l'implementazione di un sistema di risposta hè digià più interessante. Siconda, i dati
ci deve esse assai, chì significa chì i sensori di rete installati devenu travaglià
micca solu autonomamente, ma ancu in un modu finamente sintonizatu, chì crea una quantità di difficultà.
Sensori è sistema Stealthwatch
Stallà un sensoru hè una cosa, ma a stallazione hè un compitu completamente diversu. Per cunfigurà i sensori, ci hè un cumplessu chì opera secondu a topulugia seguente - ISR = Cisco Integrated Services Router; ASR = Cisco Aggregation Services Router; CSR = Cisco Cloud Services Router; WLC = Cisco Wireless LAN Controller; IE = Cisco Industrial Ethernet Switch; ASA = Cisco Adaptive Security Appliance; FTD = Soluzione Cisco Firepower Threat Defense; WSA = Web Security Appliance; ISE = Identity Services Engine
Monitoraghju cumpletu chì piglia in contu ogni dati telemetrici
L'amministratori di a rete cumincianu à sperienze arritmia da u numeru di parolle "Cisco" in u paràgrafu precedente. U prezzu di stu miraculu ùn hè micca chjucu, ma ùn hè micca ciò chì parlemu oghje ...
U cumpurtamentu di u pirate serà modellatu cum'è seguitu. Stealthwatch monitoreghja currettamente l'attività di ogni dispusitivu in a reta è hè capaci di creà un mudellu di cumpurtamentu normale. Inoltre, sta suluzione furnisce una visione profonda di u cumpurtamentu inappropriatu cunnisciutu. A suluzione usa circa 100 algoritmi di analisi differenti o euristiche chì indirizzanu diversi tipi di cumpurtamentu di u trafficu cum'è scanning, frames d'alarme d'ospiti, logins di forza bruta, cattura di dati sospettati, fuga di dati suspettati, etc. L'avvenimenti di sicurezza elencati sò in a categuria di alarmi lògichi d'altu livellu. Certi avvenimenti di sicurità ponu ancu attivà una alarma per sè stessu. Cusì, u sistema hè capaci di correlate parechje incidenti anomali isolati è mette inseme per determinà u pussibbili tipu d'attaccu, è ancu di ligà cù un dispositivu specificu è un utilizatore (Figura 2). In u futuru, l'incidentu pò esse studiatu cù u tempu è piglià in contu i dati di telemetria assuciati. Questu custituisce l'infurmazione contextuale à u so megliu. I medichi chì esaminanu un paziente per capisce ciò chì hè sbagliatu ùn guardanu micca i sintomi isolati. Fighjenu a grande stampa per fà un diagnosticu. In listessu modu, Stealthwatch cattura ogni attività anomala nantu à a rete è l'esamina in modu olisticu per mandà allarmi cuscenti di u cuntestu, aiutendu cusì i prufessiunali di sicurezza à prioritizà i risichi.
A rilevazione di l'anomalie cù a modellazione di cumpurtamentu
A implementazione fisica di a rete hè cusì:
Opzione di implementazione di a rete di filiale (simplificata)
Opzione di implementazione di a rete di filiale
A reta hè stata implementata, ma a quistione nantu à a neurona ferma aperta. Anu urganizatu una reta di trasmissione di dati, installatu sensori nantu à i soglia è lanciatu un sistema di cullizzioni d'infurmazioni, ma a neurona ùn hà micca participatu à a materia. Avvedeci.
Rete neurale multistrati
U sistema analizeghja u cumpurtamentu di l'utilizatori è di u dispositivu per detectà infezioni maliziusi, cumunicazioni cù servitori di cummandu è cuntrollu, fughe di dati è applicazioni potenzialmente indesiderate in esecuzione in l'infrastruttura di l'urganizazione. Ci hè parechje strati di trasfurmazioni di dati induve una cumminazione di intelligenza artificiale, apprendimentu di macchina è tecniche di statistiche matematiche aiutanu a rete à auto-amparà a so attività normale per pudè detectà attività maliciosa.
U pipeline di analisi di sicurezza di a rete, chì raccoglie dati di telemetria da tutte e parti di a rete estesa, cumpresu u trafficu criptatu, hè una caratteristica unica di Stealthwatch. Sviluppa gradualmente una cunniscenza di ciò chì hè "anomalu", poi categurizà l'elementi individuali attuali di "attività di minaccia", è infine face un ghjudiziu finali per se u dispusitivu o l'utilizatore hè statu veramente cumprumissu. A capacità di riunisce picculi pezzi chì inseme formanu l'evidenza per piglià una decisione finale nantu à se un attivu hè statu cumprumissu vene da una analisi è correlazione assai attenta.
Questa capacità hè impurtante perchè un affari tipicu pò riceve un gran numaru d'allarmi ogni ghjornu, è hè impussibile di investigà ogni unicu perchè i prufessiunali di sicurità anu risorse limitati. U modulu d'apprendimentu di a macchina processa una grande quantità di informazioni in quasi tempu reale per identificà incidenti critichi cun un altu livellu di cunfidenza, è hè ancu capaci di furnisce corsi d'azzione chjaru per una risoluzione rapida.
Fighjemu un sguardu più vicinu à e numerose tecniche di apprendimentu automaticu utilizzate da Stealthwatch. Quandu un incidente hè sottumessu à u mutore d'apprendimentu di macchina di Stealthwatch, passa per un funnel di analisi di sicurezza chì usa una cumminazione di tecniche di apprendimentu di macchina supervisate è senza supervisione.
Capacità di apprendimentu machine à più livelli
Livellu 1. Rilevazione di anomalie è modellazione di fiducia
À questu livellu, u 99% di u trafficu hè scartatu cù detectori di anomalie statistiche. Sti sensori inseme formanu mudelli cumplessi di ciò chì hè normale è ciò chì, à u cuntrariu, hè anormale. Tuttavia, l'anormali ùn hè micca necessariamente dannusu. A maiò parte di ciò chì succede in a vostra reta ùn hà nunda di fà cù a minaccia - hè solu strana. Hè impurtante di classificà tali prucessi senza riguardu à u cumpurtamentu minacciatu. Per questu mutivu, i risultati di tali detectors sò più analizati per catturà un cumpurtamentu stranu chì pò esse spiegatu è fiducia. In ultimamente, solu una piccula frazione di i filamenti è e dumande più impurtanti facenu à i strati 2 è 3. Senza l'usu di tali tecniche d'apprendimentu di macchina, i costi operativi di separà u signale da u rumore seria troppu altu.
Rilevazione di anomalie. U primu passu in a rilevazione di l'anomalie usa tecniche di apprendimentu di machine statistiche per separà u trafficu statisticamente normale da u trafficu anomalu. Più di 70 detectors individuali processanu i dati di telemetria chì Stealthwatch raccoglie nantu à u trafficu chì passa per u perimetru di a vostra rete, sepandu u trafficu internu di u Sistema di Nomi di Dominiu (DNS) da i dati di u servitore proxy, se ne esiste. Ogni dumanda hè trattata da più di 70 detectors, cù ogni detector utilizendu u so propiu algoritmu statisticu per furmà una valutazione di l'anomali rilevati. Questi punteggi sò cumminati è parechji metudi statistichi sò usati per pruduce un puntu unicu per ogni dumanda individuale. Stu puntuatu aggregatu hè allora utilizatu per separà u trafficu normale è anomalu.
Modellu di fiducia. In seguitu, dumande simili sò raggruppati, è a puntuazione di l'anomalia aggregata per tali gruppi hè determinata cum'è una media à longu andà. À u tempu, più dumande sò analizate per determinà a media à longu andà, riducendu cusì falsi pusitivi è falsi negativi. I risultati di mudelli di fiducia sò usati per selezziunà un sottumessu di trafficu chì a puntuazione di l'anomalia supera un sogliu determinatu dinamicamente per passà à u prossimu livellu di trasfurmazioni.
Livellu 2. Classificazione di l'avvenimenti è mudeli d'ughjettu
À questu livellu, i risultati ottenuti in e tappe previ sò classificati è attribuiti à avvenimenti maliziusi specifichi. L'avvenimenti sò classificati basatu annantu à u valore assignatu da i classificatori di l'apprendimentu di machine per assicurà un tassu di precisione coherente sopra u 90%. À mezu à elli:
- Modelli lineari basati nantu à u lema Neyman-Pearson (a lege di distribuzione normale da u graficu à u principiu di l'articulu)
- supportu macchine vettoriali chì utilizanu l'apprendimentu multivariate
- rete neurali è l'algoritmu di furesta aleatoriu.
Questi avvenimenti di sicurezza isolati sò allora assuciati cù un puntu finale unicu cù u tempu. Hè in questa tappa chì una descrizzione di minaccia hè furmatu, basatu nantu à quale una stampa cumpleta hè creata di cumu l'attaccante pertinente hà sappiutu ottene certi risultati.
Classificazione di l'avvenimenti. U subset statisticamente anomalu da u livellu precedente hè distribuitu in 100 o più categurie cù classificatori. A maiò parte di i classificatori sò basati nantu à u cumpurtamentu individuale, relazioni di gruppu, o cumportamentu in una scala glubale o lucale, mentri àutri ponu esse abbastanza specifichi. Per esempiu, u classificatore puderia indicà u trafficu C&C, una estensione sospetta, o un aghjurnamentu di software micca autorizatu. Basatu nantu à i risultati di sta tappa, un inseme di avvenimenti anomali in u sistema di sicurità, classificatu in certi categurie, hè furmatu.
U mudellu di l'ughjettu. Se a quantità di evidenza chì sustene l'ipotesi chì un oggettu particulari hè dannusu supera u limitu di materialità, una minaccia hè determinata. Avvenimenti pertinenti chì anu influenzatu a definizione di una minaccia sò assuciati cù una tale minaccia è diventanu parti di un mudellu discretu à longu andà di l'ughjettu. Cume l'evidenza s'accumula cù u tempu, u sistema identificanu novi minacce quandu u limitu di materialità hè righjuntu. Stu valore di limitu hè dinamicu è hè intelligente adattatu basatu annantu à u livellu di risicu di minaccia è altri fattori. Dopu questu, a minaccia appare nantu à u pannellu d'infurmazioni di l'interfaccia web è hè trasferita à u prossimu livellu.
Livellu 3. Modellazione di Relazioni
U scopu di u mudellu di relazione hè di sintetizà i risultati ottenuti à i livelli precedenti da una perspettiva glubale, tenendu in contu micca solu u cuntestu lucale, ma ancu globale di l'incidentu pertinente. Hè in questa tappa chì pudete determinà quante urganisazioni anu scontru un tali attaccu per capisce s'ellu era destinatu specificamente à voi o face parte di una campagna globale, è avete appena pigliatu.
Incidenti sò cunfirmati o scuperti. Un incidente verificatu implica 99 à 100% di cunfidenza perchè e tecniche è l'arnesi assuciati sò stati osservati in azzione in una scala più grande (globale). L'incidenti rilevati sò unichi per voi è facenu parte di una campagna altamente mirata. I risultati passati sò spartuti cù un cursu d'azzione cunnisciutu, risparmiendu tempu è risorse in risposta. Venenu cù l'arnesi d'investigazione chì avete bisognu di capisce quale hà attaccatu è a misura in quale a campagna era destinata à a vostra attività digitale. Cum'è pudete imaginà, u numeru di incidenti cunfirmati supera assai u nùmeru di quelli rilevati per a simplicità chì l'incidenti cunfirmati ùn implicanu micca assai costu per l'attaccanti, mentre chì l'incidenti rilevati facenu.
caru perchè anu da esse novi è persunalizati. Creendu a capacità di identificà incidenti cunfirmati, l'ecunumia di u ghjocu hà finalmente cambiatu in favore di i difensori, dendu un vantaghju distintu.
A furmazione multi-livellu di un sistema di cunnessione neurale basatu annantu à ETA
Mappa di risicu globale
A mappa di risichi glubale hè creata attraversu l'analisi applicata da algoritmi di apprendimentu machine à unu di i più grandi datasets di u so tipu in l'industria. Fornisce statistiche cumportamentali estensive in quantu à i servitori in Internet, ancu s'elli sò scunnisciuti. Tali servitori sò assuciati cù attacchi è ponu esse implicati o usati cum'è parte di un attaccu in u futuru. Questa ùn hè micca una "lista negra", ma una stampa cumpleta di u servitore in quistione da un puntu di vista di sicurità. Questa infurmazione contextuale nantu à l'attività di questi servitori permette à i detectori è i classificatori di l'apprendimentu di macchina di Stealthwatch per predice accuratamente u livellu di risicu assuciatu cù cumunicazioni cù tali servitori.
Pudete vede e carte dispunibili .
Mappa di u mondu chì mostra 460 milioni di indirizzi IP
Avà a reta s'aprende è si stende per prutege a vostra reta.
Finalmente, una panacea hè stata truvata?
Sfurtunatamente, micca. Da l'esperienza di travaglià cù u sistema, possu dì chì ci sò 2 prublemi globale.
Prublemu 1. Prezzu. A reta sana hè implementata nantu à un sistema Cisco. Questu hè bè è male. U latu bonu hè chì ùn avete micca bisognu è installà una mansa di plugs cum'è D-Link, MikroTik, etc. U svantaghju hè u costu enormu di u sistema. In cunsiderà u statu ecunomicu di l'affari russu, in u mumentu solu un pruprietariu riccu di una grande cumpagnia o banca pò permette stu miraculu.
Prublemu 2: Training. Ùn aghju micca scrittu in l'articulu u periodu di furmazione per a rete neurale, ma micca perchè ùn esisti micca, ma perchè hè amparatu tuttu u tempu è ùn pudemu micca predichendu quandu hà da amparà. Di sicuru, ci sò arnesi di statistiche matematiche (pigliate a stessa formulazione di u criteriu di cunvergenza di Pearson), ma questi sò mezi mezi. Avemu a probabilità di filtrà u trafficu, è ancu allora solu sottu a cundizione chì l'attaccu hè digià maestru è cunnisciutu.
Malgradu questi prublemi 2, avemu fattu un grande saltu in u sviluppu di a sicurità di l'infurmazioni in generale è a prutezzione di a rete in particulare. Stu fattu pò esse motivatu per u studiu di e tecnulugia di rete è e rete neurali, chì sò oghji una direzzione assai promettente.
Source: www.habr.com