System ar gyfer dadansoddi traffig heb ei ddadgryptio. Yn syml, gelwir y dull hwn yn “ddysgu peiriannau”. Mae'n troi allan, os bydd nifer fawr iawn o draffig amrywiol yn cael ei fwydo i fewnbwn dosbarthwr arbennig, gall y system ganfod gweithredoedd cod maleisus y tu mewn i draffig wedi'i amgryptio gyda lefel uchel iawn o debygolrwydd.
Mae bygythiadau ar-lein wedi newid ac wedi dod yn fwy craff. Yn ddiweddar, mae'r union gysyniad o ymosod ac amddiffyn wedi newid. Mae nifer y digwyddiadau ar y rhwydwaith wedi cynyddu'n sylweddol. Mae ymosodiadau wedi dod yn fwy soffistigedig ac mae gan hacwyr gyrhaeddiad ehangach.
Yn ôl ystadegau Cisco, dros y flwyddyn ddiwethaf, mae ymosodwyr wedi treblu nifer y malware y maent yn ei ddefnyddio ar gyfer eu gweithgareddau, neu yn hytrach, amgryptio i'w cuddio. Mae'n hysbys o ddamcaniaeth na ellir torri'r algorithm amgryptio “cywir”. Er mwyn deall yr hyn sydd wedi'i guddio y tu mewn i'r traffig wedi'i amgryptio, mae angen naill ai ei ddadgryptio gan wybod yr allwedd, neu geisio ei ddadgryptio gan ddefnyddio triciau amrywiol, neu hacio'n uniongyrchol, neu ddefnyddio rhyw fath o wendidau mewn protocolau cryptograffig.
Darlun o fygythiadau rhwydwaith ein hamser
Dysgu peiriant
Gwybod y dechnoleg yn bersonol! Cyn siarad am sut mae'r dechnoleg dadgryptio sy'n seiliedig ar ddysgu peiriannau ei hun yn gweithio, mae angen deall sut mae technoleg rhwydwaith niwral yn gweithio.
Mae Machine Learning yn is-adran eang o ddeallusrwydd artiffisial sy'n astudio dulliau ar gyfer adeiladu algorithmau sy'n gallu dysgu. Nod y wyddoniaeth hon yw creu modelau mathemategol ar gyfer “hyfforddi” cyfrifiadur. Pwrpas dysgu yw rhagweld rhywbeth. Mewn dealltwriaeth ddynol, rydyn ni'n galw'r broses hon yn air "doethineb". Mae doethineb yn amlygu ei hun mewn pobl sydd wedi byw ers cryn amser (ni all plentyn 2 oed fod yn ddoeth). Wrth droi at uwch gymrodyr am gyngor, rydym yn rhoi rhywfaint o wybodaeth iddynt am y digwyddiad (data mewnbwn) ac yn gofyn iddynt am help. Maent, yn eu tro, yn cofio pob sefyllfa o fywyd sydd rywsut yn gysylltiedig â'ch problem (sylfaen gwybodaeth) ac, yn seiliedig ar y wybodaeth hon (data), yn rhoi rhyw fath o ragfynegiad (cyngor) i ni. Dechreuodd y math hwn o gyngor gael ei alw’n rhagfynegiad oherwydd nid yw’r sawl sy’n rhoi’r cyngor yn gwybod yn sicr beth fydd yn digwydd, ond dim ond yn cymryd yn ganiataol. Mae profiad bywyd yn dangos y gall person fod yn iawn, neu gall fod yn anghywir.
Ni ddylech gymharu rhwydweithiau niwral â'r algorithm canghennog (os-arall). Mae'r rhain yn bethau gwahanol ac mae gwahaniaethau allweddol. Mae gan yr algorithm canghennog “ddealltwriaeth” glir o beth i'w wneud. Byddaf yn arddangos gydag enghreifftiau.
Tasg. Darganfyddwch bellter brecio car ar sail ei wneuthuriad a blwyddyn ei weithgynhyrchu.
Enghraifft o'r algorithm canghennog. Os yw car yn frand 1 ac fe'i rhyddhawyd yn 2012, ei bellter brecio yw 10 metr, fel arall, os yw'r car yn frand 2 ac fe'i rhyddhawyd yn 2011, ac ati.
Enghraifft o rwydwaith niwral. Rydym yn casglu data ar bellteroedd brecio ceir dros yr 20 mlynedd diwethaf. Yn ôl gwneuthuriad a blwyddyn, rydym yn llunio tabl o'r ffurf “gwneud blwyddyn o bellter brecio gweithgynhyrchu”. Rydyn ni'n rhoi'r tabl hwn i'r rhwydwaith niwral ac yn dechrau ei ddysgu. Cynhelir hyfforddiant fel a ganlyn: rydym yn bwydo data i'r rhwydwaith niwral, ond heb lwybr brecio. Mae'r niwron yn ceisio rhagweld beth fydd y pellter brecio yn seiliedig ar y tabl sy'n cael ei lwytho i mewn iddo. Yn rhagweld rhywbeth ac yn gofyn i'r defnyddiwr "Ydw i'n iawn?" Cyn y cwestiwn, mae hi'n creu pedwaredd golofn, y golofn ddyfalu. Os yw hi'n iawn, yna mae'n ysgrifennu 1 yn y bedwaredd golofn; os yw'n anghywir, mae'n ysgrifennu 0. Mae'r rhwydwaith niwral yn symud ymlaen i'r digwyddiad nesaf (hyd yn oed os yw'n gwneud camgymeriad). Dyma sut mae'r rhwydwaith yn dysgu a phan fydd yr hyfforddiant wedi'i gwblhau (mae maen prawf cydgyfeirio penodol wedi'i gyrraedd), rydym yn cyflwyno data am y car y mae gennym ddiddordeb ynddo ac yn olaf yn cael ateb.
I ddileu’r cwestiwn am y maen prawf cydgyfeirio, egluraf mai fformiwla sy’n deillio o fathemategol ar gyfer ystadegau yw hon. Enghraifft drawiadol o ddwy fformiwla cydgyfeirio wahanol. Coch – cydgyfeiriant deuaidd, glas – cydgyfeiriant arferol.
Dosbarthiadau tebygolrwydd binomaidd a normal
I’w wneud yn gliriach, gofynnwch y cwestiwn “Beth yw’r tebygolrwydd o gwrdd â deinosor?” Mae 2 ateb posib yma. Opsiwn 1 – bach iawn (graff glas). Opsiwn 2 – naill ai cyfarfod ai peidio (graff coch).
Wrth gwrs, nid person yw cyfrifiadur ac mae'n dysgu'n wahanol. Mae 2 fath o hyfforddiant ceffylau haearn: dysgu ar sail achos и dysgu diddwythol.
Mae addysgu trwy gynsail yn ffordd o addysgu gan ddefnyddio deddfau mathemategol. Mae mathemategwyr yn casglu tablau ystadegau, yn dod i gasgliadau ac yn llwytho'r canlyniad i'r rhwydwaith niwral - fformiwla ar gyfer cyfrifo.
Dysgu diddwythol - mae dysgu'n digwydd yn gyfan gwbl yn y niwron (o gasglu data i'w ddadansoddi). Yma mae tabl yn cael ei ffurfio heb fformiwla, ond gydag ystadegau.
Byddai trosolwg eang o'r dechnoleg yn cymryd cwpl o ddwsin o erthyglau. Am y tro, bydd hyn yn ddigon ar gyfer ein dealltwriaeth gyffredinol.
Neuroplastigedd
Mewn bioleg mae cysyniad o'r fath - niwroplastigedd. Neuroplasticity yw gallu niwronau (celloedd yr ymennydd) i weithredu “yn ôl y sefyllfa.” Er enghraifft, mae person sydd wedi colli ei olwg yn clywed synau, arogleuon ac yn synhwyro gwrthrychau yn well. Mae hyn yn digwydd oherwydd bod y rhan o'r ymennydd (rhan o'r niwronau) sy'n gyfrifol am olwg yn ailddosbarthu ei waith i swyddogaethau eraill.
Enghraifft drawiadol o niwroplastigedd mewn bywyd yw lolipop BrainPort.
Yn 2009, cyhoeddodd Prifysgol Wisconsin yn Madison ei bod yn rhyddhau dyfais newydd a ddatblygodd y syniadau am “arddangosfa iaith” - BrainPort oedd yr enw arno. Mae BrainPort yn gweithio yn unol â'r algorithm canlynol: anfonir y signal fideo o'r camera i'r prosesydd, sy'n rheoli chwyddo, disgleirdeb a pharamedrau llun eraill. Mae hefyd yn trosi signalau digidol yn ysgogiadau trydanol, gan gymryd drosodd swyddogaethau'r retina yn y bôn.
Lolipop Porth ymennydd gyda sbectol a chamera
Porth syniadau yn y gwaith
Yr un peth gyda chyfrifiadur. Os yw'r rhwydwaith niwral yn synhwyro newid yn y broses, mae'n addasu iddo. Dyma fantais allweddol rhwydweithiau niwral o'i gymharu ag algorithmau eraill - ymreolaeth. Math o ddynoliaeth.
Dadansoddeg Traffig wedi'i Amgryptio
Mae Dadansoddeg Traffig wedi'i Amgryptio yn rhan o'r system Stealthwatch. Stealthwatch yw cofnod Cisco i atebion monitro diogelwch a dadansoddeg sy'n trosoli data telemetreg menter o'r seilwaith rhwydwaith presennol.
Mae Stealthwatch Enterprise yn seiliedig ar y Drwydded Cyfradd Llif, y Casglwr Llif, y Consol Rheoli a'r offer Synhwyrydd Llif.
Rhyngwyneb Cisco Stealthwatch
Daeth y broblem gydag amgryptio yn ddifrifol iawn oherwydd y ffaith bod llawer mwy o draffig wedi dechrau cael ei amgryptio. Yn flaenorol, dim ond y cod oedd wedi'i amgryptio (yn bennaf), ond nawr mae'r holl draffig wedi'i amgryptio ac mae gwahanu data “glân” oddi wrth firysau wedi dod yn llawer anoddach. Enghraifft drawiadol yw WannaCry, a ddefnyddiodd Tor i guddio ei bresenoldeb ar-lein.
Delweddu'r twf mewn amgryptio traffig ar y rhwydwaith
Amgryptio mewn macro-economeg
Mae'r system Dadansoddi Traffig wedi'i Amgryptio (ETA) yn hanfodol ar gyfer gweithio gyda thraffig wedi'i amgryptio heb ei ddadgryptio. Mae ymosodwyr yn smart ac yn defnyddio algorithmau amgryptio sy'n gwrthsefyll cripto, ac mae eu torri nid yn unig yn broblem, ond hefyd yn hynod o ddrud i sefydliadau.
Mae'r system yn gweithio fel a ganlyn. Mae rhywfaint o draffig yn dod i'r cwmni. Mae'n perthyn i TLS (diogelwch haen trafnidiaeth). Gadewch i ni ddweud bod y traffig wedi'i amgryptio. Rydym yn ceisio ateb nifer o gwestiynau ynghylch pa fath o gysylltiad a wnaed.
Sut mae'r system Dadansoddi Traffig Amgryptio (ETA) yn gweithio
I ateb y cwestiynau hyn rydym yn defnyddio dysgu peirianyddol yn y system hon. Cymerir ymchwil gan Cisco ac yn seiliedig ar yr astudiaethau hyn mae tabl yn cael ei greu o 2 ganlyniad - traffig maleisus a “da”. Wrth gwrs, nid ydym yn gwybod yn sicr pa fath o draffig a ddaeth i mewn i'r system yn uniongyrchol ar hyn o bryd, ond gallwn olrhain hanes traffig y tu mewn a'r tu allan i'r cwmni gan ddefnyddio data o lwyfan y byd. Ar ddiwedd y cam hwn, rydym yn cael tabl enfawr gyda data.
Yn seiliedig ar ganlyniadau'r astudiaeth, nodir nodweddion nodweddiadol - rhai rheolau y gellir eu hysgrifennu ar ffurf fathemategol. Bydd y rheolau hyn yn amrywio'n fawr yn dibynnu ar feini prawf gwahanol - maint y ffeiliau a drosglwyddwyd, y math o gysylltiad, o ba wlad y daw'r traffig hwn, ac ati. O ganlyniad i'r gwaith, trodd y bwrdd enfawr yn set o bentyrrau o fformiwlâu. Mae llai ohonynt, ond nid yw hyn yn ddigon ar gyfer gwaith cyfforddus.
Nesaf, cymhwysir technoleg dysgu peiriant - cydgyfeirio fformiwla ac yn seiliedig ar ganlyniad cydgyfeiriant rydym yn cael sbardun - switsh, lle pan fydd y data'n allbwn byddwn yn cael switsh (baner) yn y safle codi neu ostwng.
Y cam dilynol yw cael set o sbardunau a oedd yn cwmpasu 99% o'r traffig.
Camau archwilio traffig yn ETA
O ganlyniad i'r gwaith, mae problem arall yn cael ei datrys - ymosodiad o'r tu mewn. Nid oes angen mwyach i bobl yn y canol hidlo traffig â llaw (dwi'n boddi fy hun ar hyn o bryd). Yn gyntaf, nid oes angen i chi wario llawer o arian ar weinyddwr system cymwys mwyach (rwy'n parhau i foddi fy hun). Yn ail, nid oes unrhyw berygl o hacio o'r tu mewn (yn rhannol o leiaf).
Cysyniad Dyn-yn-y-Canol Hen ffasiwn
Nawr, gadewch i ni ddarganfod beth mae'r system yn seiliedig arno.
Mae'r system yn gweithredu ar 4 protocol cyfathrebu: TCP/IP - protocol trosglwyddo data rhyngrwyd, DNS - gweinydd enw parth, TLS - protocol diogelwch haen trafnidiaeth, SPLT (Profwr Haen Corfforol SpaceWire) - profwr haen cyfathrebu corfforol.
Protocolau sy'n gweithio gydag ETA
Gwneir cymhariaeth trwy gymharu data. Gan ddefnyddio protocolau TCP/IP, mae enw da safleoedd yn cael ei wirio (hanes yr ymweliad, pwrpas creu'r wefan, ac ati), diolch i'r protocol DNS, gallwn gael gwared ar gyfeiriadau gwefan “drwg”. Mae'r protocol TLS yn gweithio gydag ôl bys safle ac yn gwirio'r safle yn erbyn tîm ymateb brys cyfrifiadurol (tystysgrif). Y cam olaf wrth wirio'r cysylltiad yw gwirio ar y lefel gorfforol. Nid yw manylion y cam hwn wedi’u nodi, ond mae’r pwynt fel a ganlyn: gwirio cromliniau sin a chosin cromliniau trawsyrru data ar osodiadau osgilograffeg, h.y. Diolch i strwythur y cais ar yr haen ffisegol, rydym yn pennu pwrpas y cysylltiad.
O ganlyniad i weithrediad y system, gallwn gael data o draffig wedi'i amgryptio. Trwy archwilio pecynnau, gallwn ddarllen cymaint o wybodaeth â phosibl o'r meysydd heb eu hamgryptio yn y pecyn ei hun. Trwy archwilio'r pecyn ar yr haen ffisegol, rydym yn darganfod nodweddion y pecyn (yn rhannol neu'n gyfan gwbl). Hefyd, peidiwch ag anghofio am enw da'r safleoedd. Os daeth y cais o ryw ffynhonnell .onion, ni ddylech ymddiried ynddo. Er mwyn ei gwneud hi'n haws gweithio gyda'r math hwn o ddata, mae map risg wedi'i greu.
Canlyniad gwaith ETA
Ac mae'n ymddangos bod popeth yn iawn, ond gadewch i ni siarad am ddefnyddio rhwydwaith.
Gweithredu ETA yn gorfforol
Mae nifer o arlliwiau a chynildeb yn codi yma. Yn gyntaf, wrth greu y math hwn o
rhwydweithiau gyda meddalwedd lefel uchel, mae angen casglu data. Casglu data â llaw yn gyfan gwbl
gwyllt, ond mae gweithredu system ymateb eisoes yn fwy diddorol. Yn ail, y data
dylai fod llawer, sy'n golygu bod yn rhaid i'r synwyryddion rhwydwaith gosodedig weithio
nid yn unig yn annibynnol, ond hefyd mewn modd wedi'i diwnio'n fanwl, sy'n creu nifer o anawsterau.
Synwyryddion a system Stealthwatch
Mae gosod synhwyrydd yn un peth, ond mae ei osod yn dasg hollol wahanol. I ffurfweddu synwyryddion, mae cyfadeilad sy'n gweithredu yn unol â'r topoleg ganlynol - ISR = Llwybrydd Gwasanaethau Integredig Cisco; ASR = Llwybrydd Gwasanaethau Cydgasglu Cisco; CSR = Llwybrydd Gwasanaethau Cwmwl Cisco; WLC = Rheolydd LAN Di-wifr Cisco; IE = Switsh Ethernet Cisco Diwydiannol; ASA = Offer Diogelwch Addasol Cisco; FTD = Ateb Amddiffyn Bygythiad Cisco Firepower; WSA = Offer Diogelwch Gwe; ISE = Peiriant Gwasanaethau Hunaniaeth
Monitro cynhwysfawr gan ystyried unrhyw ddata telemetrig
Mae gweinyddwyr rhwydwaith yn dechrau profi arrhythmia o'r nifer o eiriau “Cisco” yn y paragraff blaenorol. Nid yw pris y wyrth hon yn fach, ond nid dyna rydyn ni'n siarad amdano heddiw ...
Bydd ymddygiad yr haciwr yn cael ei fodelu fel a ganlyn. Mae Stealthwatch yn monitro gweithgaredd pob dyfais ar y rhwydwaith yn ofalus ac yn gallu creu patrwm o ymddygiad arferol. Yn ogystal, mae'r datrysiad hwn yn rhoi mewnwelediad dwfn i ymddygiad amhriodol hysbys. Mae'r datrysiad yn defnyddio tua 100 o wahanol algorithmau dadansoddi neu hewristeg sy'n mynd i'r afael â gwahanol fathau o ymddygiad traffig megis sganio, fframiau larwm gwesteiwr, mewngofnodi grym ysgarol, cipio data a amheuir, gollyngiad data a amheuir, ac ati. Mae'r digwyddiadau diogelwch a restrir yn dod o dan y categori o larymau rhesymegol lefel uchel. Gall rhai digwyddiadau diogelwch hefyd ysgogi larwm ar eu pen eu hunain. Felly, mae'r system yn gallu cydberthyn sawl digwyddiad anomalaidd ynysig a'u rhoi at ei gilydd i bennu'r math posibl o ymosodiad, yn ogystal â'i gysylltu â dyfais a defnyddiwr penodol (Ffigur 2). Yn y dyfodol, gellir astudio'r digwyddiad dros amser a chan gymryd i ystyriaeth y data telemetreg cysylltiedig. Mae hyn yn gyfystyr â gwybodaeth gyd-destunol ar ei orau. Nid yw meddygon sy'n archwilio claf i ddeall beth sydd o'i le yn edrych ar y symptomau ar eu pen eu hunain. Maen nhw'n edrych ar y darlun mawr i wneud diagnosis. Yn yr un modd, mae Stealthwatch yn dal pob gweithgaredd afreolaidd ar y rhwydwaith ac yn ei archwilio'n gyfannol i anfon larymau sy'n ymwybodol o'r cyd-destun, a thrwy hynny helpu gweithwyr diogelwch proffesiynol i flaenoriaethu risgiau.
Canfod anghysondebau gan ddefnyddio modelu ymddygiad
Mae defnydd ffisegol y rhwydwaith yn edrych fel hyn:
Opsiwn defnyddio rhwydwaith cangen (syml)
Opsiwn defnyddio rhwydwaith cangen
Mae'r rhwydwaith wedi'i ddefnyddio, ond mae'r cwestiwn am y niwron yn parhau i fod yn agored. Fe wnaethant drefnu rhwydwaith trosglwyddo data, gosod synwyryddion ar y trothwyon a lansio system casglu gwybodaeth, ond ni chymerodd y niwron ran yn y mater. Hwyl.
Rhwydwaith niwral amlhaenog
Mae'r system yn dadansoddi ymddygiad defnyddwyr a dyfeisiau i ganfod heintiau maleisus, cyfathrebu â gweinyddwyr gorchymyn a rheoli, gollyngiadau data, a chymwysiadau diangen o bosibl sy'n rhedeg yn seilwaith y sefydliad. Mae yna haenau lluosog o brosesu data lle mae cyfuniad o ddeallusrwydd artiffisial, dysgu peiriant, a thechnegau ystadegau mathemategol yn helpu'r rhwydwaith i hunan-ddysgu ei weithgaredd arferol fel y gall ganfod gweithgaredd maleisus.
Mae'r biblinell dadansoddi diogelwch rhwydwaith, sy'n casglu data telemetreg o bob rhan o'r rhwydwaith estynedig, gan gynnwys traffig wedi'i amgryptio, yn nodwedd unigryw o Stealthwatch. Mae'n datblygu dealltwriaeth gynyddol o'r hyn sy'n “anghyson,” yna'n categoreiddio'r elfennau unigol gwirioneddol o “weithgarwch bygythiad,” ac yn olaf yn gwneud dyfarniad terfynol ynghylch a yw'r ddyfais neu'r defnyddiwr wedi'i beryglu mewn gwirionedd. Mae'r gallu i ddod â darnau bach sy'n ffurfio'r dystiolaeth at ei gilydd i wneud penderfyniad terfynol ynghylch a yw ased wedi'i beryglu yn dod trwy ddadansoddi a chydberthynas ofalus iawn.
Mae'r gallu hwn yn bwysig oherwydd gall busnes nodweddiadol dderbyn nifer enfawr o larymau bob dydd, ac mae'n amhosibl ymchwilio i bob un oherwydd bod gan weithwyr diogelwch proffesiynol adnoddau cyfyngedig. Mae'r modiwl dysgu peiriant yn prosesu llawer iawn o wybodaeth mewn amser real bron i nodi digwyddiadau critigol gyda lefel uchel o hyder, ac mae hefyd yn gallu darparu camau gweithredu clir ar gyfer datrysiad cyflym.
Gadewch i ni edrych yn agosach ar y technegau dysgu peirianyddol niferus a ddefnyddir gan Stealthwatch. Pan fydd digwyddiad yn cael ei gyflwyno i beiriant dysgu peiriant Stealthwatch, mae'n mynd trwy twndis dadansoddi diogelwch sy'n defnyddio cyfuniad o dechnegau dysgu peiriannau dan oruchwyliaeth a heb oruchwyliaeth.
Galluoedd dysgu peiriant aml-lefel
Lefel 1 . Canfod anghysondebau a modelu ymddiriedaeth
Ar y lefel hon, mae 99% o draffig yn cael ei daflu gan ddefnyddio synwyryddion anomaleddau ystadegol. Mae'r synwyryddion hyn gyda'i gilydd yn ffurfio modelau cymhleth o'r hyn sy'n normal a beth, i'r gwrthwyneb, sy'n annormal. Fodd bynnag, nid yw'r annormal o reidrwydd yn niweidiol. Nid oes gan lawer o'r hyn sy'n digwydd ar eich rhwydwaith unrhyw beth i'w wneud â'r bygythiad - mae'n rhyfedd. Mae'n bwysig dosbarthu prosesau o'r fath heb ystyried ymddygiad bygythiol. Am y rheswm hwn, dadansoddir canlyniadau synwyryddion o'r fath ymhellach er mwyn dal ymddygiad rhyfedd y gellir ei esbonio ac ymddiried ynddo. Yn y pen draw, dim ond ffracsiwn bach o'r edafedd a'r ceisiadau pwysicaf sy'n cyrraedd haenau 2 a 3. Heb ddefnyddio technegau dysgu peiriant o'r fath, byddai costau gweithredol gwahanu'r signal oddi wrth y sŵn yn rhy uchel.
Canfod anghysondebau. Mae'r cam cyntaf mewn canfod anghysondebau yn defnyddio technegau dysgu peirianyddol ystadegol i wahanu traffig ystadegol normal oddi wrth draffig afreolaidd. Mae mwy na 70 o synwyryddion unigol yn prosesu'r data telemetreg y mae Stealthwatch yn ei gasglu ar draffig sy'n mynd trwy berimedr eich rhwydwaith, gan wahanu traffig mewnol System Enw Parth (DNS) oddi wrth ddata gweinydd dirprwyol, os o gwbl. Mae pob cais yn cael ei brosesu gan fwy na 70 o synwyryddion, gyda phob synhwyrydd yn defnyddio ei algorithm ystadegol ei hun i ffurfio asesiad o'r anomaleddau a ganfuwyd. Cyfunir y sgorau hyn a defnyddir dulliau ystadegol lluosog i gynhyrchu un sgôr ar gyfer pob ymholiad unigol. Yna defnyddir y sgôr gyfanredol hon i wahanu traffig arferol ac anomalaidd.
Ymddiriedolaeth modelu. Nesaf, mae ceisiadau tebyg yn cael eu grwpio, a chaiff sgôr anomaledd cyfansymiol grwpiau o'r fath ei bennu fel cyfartaledd hirdymor. Dros amser, caiff mwy o ymholiadau eu dadansoddi i bennu'r cyfartaledd hirdymor, a thrwy hynny leihau'r pethau cadarnhaol ffug a'r negyddol ffug. Defnyddir canlyniadau modelu'r ymddiriedolaeth i ddewis is-set o draffig y mae ei sgôr anomaledd yn uwch na rhyw drothwy a bennwyd yn ddeinamig i symud i'r lefel brosesu nesaf.
Lefel 2. Dosbarthiad digwyddiadau a modelu gwrthrychau
Ar y lefel hon, mae'r canlyniadau a gafwyd yn y camau blaenorol yn cael eu dosbarthu a'u neilltuo i ddigwyddiadau maleisus penodol. Dosberthir digwyddiadau yn seiliedig ar y gwerth a neilltuwyd gan ddosbarthwyr dysgu peiriannau i sicrhau cyfradd cywirdeb gyson uwch na 90%. Yn eu plith:
- modelau llinol yn seiliedig ar lema Neyman-Pearson (cyfraith dosbarthiad normal o'r graff ar ddechrau'r erthygl)
- cefnogi peiriannau fector gan ddefnyddio dysgu aml-newidyn
- rhwydweithiau niwral a'r algorithm coedwig ar hap.
Mae'r digwyddiadau diogelwch ynysig hyn wedyn yn gysylltiedig ag un pwynt terfyn dros amser. Ar hyn o bryd mae disgrifiad bygythiad yn cael ei ffurfio, yn seiliedig ar y llun cyflawn yn cael ei greu o sut y llwyddodd yr ymosodwr perthnasol i gyflawni canlyniadau penodol.
Dosbarthiad o ddigwyddiadau. Dosberthir yr is-set ystadegol anomalaidd o'r lefel flaenorol i 100 neu fwy o gategorïau gan ddefnyddio dosbarthwyr. Mae'r rhan fwyaf o ddosbarthwyr yn seiliedig ar ymddygiad unigol, perthnasoedd grŵp, neu ymddygiad ar raddfa fyd-eang neu leol, tra gall eraill fod yn eithaf penodol. Er enghraifft, gallai'r dosbarthwr nodi traffig C&C, estyniad amheus, neu ddiweddariad meddalwedd heb awdurdod. Yn seiliedig ar ganlyniadau'r cam hwn, ffurfir set o ddigwyddiadau anomalaidd yn y system ddiogelwch, wedi'u dosbarthu i gategorïau penodol.
Modelu gwrthrych. Os yw swm y dystiolaeth sy'n cefnogi'r rhagdybiaeth bod gwrthrych penodol yn niweidiol yn fwy na'r trothwy perthnasedd, penderfynir bygythiad. Mae digwyddiadau perthnasol a ddylanwadodd ar y diffiniad o fygythiad yn gysylltiedig â bygythiad o'r fath ac yn dod yn rhan o fodel hirdymor arwahanol o'r gwrthrych. Wrth i dystiolaeth gronni dros amser, mae'r system yn nodi bygythiadau newydd pan gyrhaeddir y trothwy perthnasedd. Mae'r gwerth trothwy hwn yn ddeinamig ac yn cael ei addasu'n ddeallus yn seiliedig ar lefel y risg o fygythiad a ffactorau eraill. Ar ôl hyn, mae'r bygythiad yn ymddangos ar banel gwybodaeth y rhyngwyneb gwe ac yn cael ei drosglwyddo i'r lefel nesaf.
Lefel 3. Modelu Perthynas
Pwrpas modelu perthynas yw syntheseiddio'r canlyniadau a gafwyd ar lefelau blaenorol o safbwynt byd-eang, gan ystyried nid yn unig y cyd-destun lleol ond hefyd cyd-destun byd-eang y digwyddiad perthnasol. Ar y cam hwn y gallwch chi benderfynu faint o sefydliadau sydd wedi dod ar draws ymosodiad o'r fath er mwyn deall a oedd wedi'i anelu'n benodol atoch chi neu a yw'n rhan o ymgyrch fyd-eang, ac rydych chi newydd gael eich dal.
Mae digwyddiadau'n cael eu cadarnhau neu eu darganfod. Mae digwyddiad a ddilyswyd yn awgrymu hyder 99 i 100% oherwydd bod y technegau a'r offer cysylltiedig wedi'u harsylwi'n flaenorol ar waith ar raddfa fwy (byd-eang). Mae'r digwyddiadau a ddarganfyddir yn unigryw i chi ac yn ffurfio rhan o ymgyrch wedi'i thargedu'n fawr.Rhennir canfyddiadau'r gorffennol gyda chamau gweithredu hysbys, gan arbed amser ac adnoddau i chi wrth ymateb. Maent yn dod gyda'r offer ymchwiliol sydd eu hangen arnoch i ddeall pwy ymosododd arnoch ac i ba raddau yr oedd yr ymgyrch yn targedu eich busnes digidol. Fel y gallwch ddychmygu, mae nifer y digwyddiadau a gadarnhawyd yn llawer uwch na nifer y rhai a ganfuwyd am y rheswm syml nad yw digwyddiadau a gadarnhawyd yn golygu llawer o gost i ymosodwyr, tra bod digwyddiadau a ganfyddir yn gwneud hynny.
ddrud oherwydd mae'n rhaid iddynt fod yn newydd ac wedi'u haddasu. Trwy greu'r gallu i nodi digwyddiadau a gadarnhawyd, mae economeg y gêm o'r diwedd wedi symud o blaid amddiffynwyr, gan roi mantais amlwg iddynt.
Hyfforddiant aml-lefel o system cysylltiad niwral yn seiliedig ar ETA
Map risg byd-eang
Mae'r map risg byd-eang yn cael ei greu trwy ddadansoddiad a gymhwysir gan algorithmau dysgu peirianyddol i un o'r setiau data mwyaf o'i fath yn y diwydiant. Mae'n darparu ystadegau ymddygiadol helaeth ynghylch gweinyddwyr ar y Rhyngrwyd, hyd yn oed os nad ydynt yn hysbys. Mae gweinyddwyr o'r fath yn gysylltiedig ag ymosodiadau a gallant gael eu cynnwys neu eu defnyddio fel rhan o ymosodiad yn y dyfodol. Nid “rhestr ddu” mo hon, ond darlun cynhwysfawr o’r gweinydd dan sylw o safbwynt diogelwch. Mae'r wybodaeth gyd-destunol hon am weithgaredd y gweinyddwyr hyn yn caniatáu i ganfodyddion dysgu peirianyddol a dosbarthwyr Stealthwatch ragfynegi'n gywir lefel y risg sy'n gysylltiedig â chyfathrebu â gweinyddwyr o'r fath.
Gallwch weld y cardiau sydd ar gael .
Map o'r byd yn dangos 460 miliwn o gyfeiriadau IP
Nawr mae'r rhwydwaith yn dysgu ac yn sefyll i fyny i amddiffyn eich rhwydwaith.
Yn olaf, mae ateb i bob problem wedi'i ganfod?
Yn anffodus, dim. O brofiad o weithio gyda'r system, gallaf ddweud bod 2 broblem fyd-eang.
Problem 1. Pris. Mae'r rhwydwaith cyfan yn cael ei ddefnyddio ar system Cisco. Mae hyn yn dda ac yn ddrwg. Yr ochr dda yw nad oes rhaid i chi drafferthu a gosod criw o blygiau fel D-Link, MikroTik, ac ati. Yr anfantais yw cost enfawr y system. O ystyried cyflwr economaidd busnes Rwsia, ar hyn o bryd dim ond perchennog cyfoethog cwmni neu fanc mawr sy'n gallu fforddio'r wyrth hon.
Problem 2: Hyfforddiant. Ni ysgrifennais yn yr erthygl y cyfnod hyfforddi ar gyfer y rhwydwaith niwral, ond nid oherwydd nad yw'n bodoli, ond oherwydd ei fod yn dysgu drwy'r amser ac ni allwn ragweld pryd y bydd yn dysgu. Wrth gwrs, mae yna offer ystadegau mathemategol (cymerwch yr un ffurf â maen prawf cydgyfeirio Pearson), ond hanner mesurau yw'r rhain. Rydyn ni'n cael y tebygolrwydd o hidlo traffig, a hyd yn oed wedyn dim ond o dan yr amod bod yr ymosodiad eisoes wedi'i feistroli ac yn hysbys.
Er gwaethaf y 2 broblem hyn, rydym wedi gwneud naid fawr yn natblygiad diogelwch gwybodaeth yn gyffredinol ac amddiffyn rhwydwaith yn benodol. Gall y ffaith hon fod yn gymhelliant ar gyfer astudio technolegau rhwydwaith a rhwydweithiau niwral, sydd bellach yn gyfeiriad addawol iawn.
Ffynhonnell: hab.com