Ein System zur Analyse des Datenverkehrs, ohne ihn zu entschlüsseln. Diese Methode wird einfach „maschinelles Lernen“ genannt. Es stellte sich heraus, dass das System die Aktionen von Schadcode im verschlüsselten Verkehr mit sehr hoher Wahrscheinlichkeit erkennen kann, wenn eine sehr große Menge unterschiedlichen Datenverkehrs in den Eingang eines speziellen Klassifikators eingespeist wird.
Online-Bedrohungen haben sich verändert und sind intelligenter geworden. In letzter Zeit hat sich das Konzept von Angriff und Verteidigung geändert. Die Zahl der Veranstaltungen im Netzwerk hat deutlich zugenommen. Angriffe sind raffinierter geworden und Hacker haben eine größere Reichweite.
Laut Cisco-Statistiken haben Angreifer im vergangenen Jahr die Anzahl der Malware, die sie für ihre Aktivitäten verwenden, bzw. die Verschlüsselung, um sie zu verbergen, verdreifacht. Aus der Theorie ist bekannt, dass der „richtige“ Verschlüsselungsalgorithmus nicht gebrochen werden kann. Um zu verstehen, was sich im verschlüsselten Verkehr verbirgt, ist es notwendig, ihn entweder mit Kenntnis des Schlüssels zu entschlüsseln oder zu versuchen, ihn mit verschiedenen Tricks, direktem Hacking oder der Ausnutzung einiger Schwachstellen in kryptografischen Protokollen zu entschlüsseln.
Ein Bild der Netzwerkbedrohungen unserer Zeit
Maschinelles Lernen
Lernen Sie die Technologie persönlich kennen! Bevor wir darüber sprechen, wie die auf maschinellem Lernen basierende Entschlüsselungstechnologie selbst funktioniert, müssen wir verstehen, wie die neuronale Netzwerktechnologie funktioniert.
Maschinelles Lernen ist ein breiter Teilbereich der künstlichen Intelligenz, der Methoden zur Konstruktion lernfähiger Algorithmen untersucht. Ziel dieser Wissenschaft ist die Erstellung mathematischer Modelle zum „Training“ eines Computers. Der Zweck des Lernens besteht darin, etwas vorherzusagen. Im menschlichen Verständnis nennen wir diesen Vorgang das Wort "Weisheit". Weisheit manifestiert sich bei Menschen, die schon lange leben (ein 2-jähriges Kind kann nicht weise sein). Wenn wir ältere Kameraden um Rat fragen, geben wir ihnen einige Informationen über das Ereignis (Eingabedaten) und bitten sie um Hilfe. Sie wiederum erinnern sich an alle Situationen aus dem Leben, die irgendwie mit Ihrem Problem zusammenhängen (Wissensbasis) und geben uns auf Basis dieses Wissens (Daten) eine Art Prognose (Ratschlag). Diese Art von Ratschlägen wurde als Vorhersage bezeichnet, da die Person, die den Rat gibt, nicht genau weiß, was passieren wird, sondern nur davon ausgeht. Die Lebenserfahrung zeigt, dass ein Mensch Recht oder Unrecht haben kann.
Neuronale Netze sollten Sie nicht mit dem Verzweigungsalgorithmus (if-else) vergleichen. Das sind verschiedene Dinge und es gibt wesentliche Unterschiede. Der Verzweigungsalgorithmus hat ein klares „Verständnis“ darüber, was zu tun ist. Ich werde es anhand von Beispielen demonstrieren.
Aufgabe. Bestimmen Sie den Bremsweg eines Autos anhand von Marke und Baujahr.
Ein Beispiel für den Verzweigungsalgorithmus. Wenn ein Auto die Marke 1 hat und im Jahr 2012 auf den Markt kam, beträgt sein Bremsweg 10 Meter, andernfalls, wenn das Auto die Marke 2 hat und im Jahr 2011 auf den Markt kam, und so weiter.
Ein Beispiel für ein neuronales Netzwerk. Wir sammeln Daten über die Bremswege von Autos in den letzten 20 Jahren. Nach Marke und Jahr erstellen wir eine Tabelle der Form „Marke, Jahr der Herstellung – Bremsweg“. Wir geben diese Tabelle an das neuronale Netzwerk weiter und beginnen, sie zu unterrichten. Das Training läuft wie folgt ab: Wir speisen Daten in das neuronale Netz ein, allerdings ohne Bremsweg. Das Neuron versucht anhand der geladenen Tabelle vorherzusagen, wie hoch der Bremsweg sein wird. Sagt etwas voraus und fragt den Benutzer: „Habe ich recht?“ Vor der Frage erstellt sie eine vierte Spalte, die Ratespalte. Wenn sie Recht hat, schreibt sie eine 1 in die vierte Spalte, wenn sie falsch liegt, schreibt sie eine 0. Das neuronale Netzwerk geht zum nächsten Ereignis über (auch wenn es einen Fehler gemacht hat). Auf diese Weise lernt das Netzwerk und wenn das Training abgeschlossen ist (ein bestimmtes Konvergenzkriterium wurde erreicht), übermitteln wir Daten über das Auto, an dem wir interessiert sind, und erhalten schließlich eine Antwort.
Um die Frage nach dem Konvergenzkriterium zu beseitigen, erkläre ich, dass es sich hierbei um eine mathematisch abgeleitete Formel für die Statistik handelt. Ein eindrucksvolles Beispiel für zwei verschiedene Konvergenzformeln. Rot – binäre Konvergenz, blau – normale Konvergenz.
Binomiale und normale Wahrscheinlichkeitsverteilungen
Um es klarer zu machen, stellen Sie die Frage: „Wie hoch ist die Wahrscheinlichkeit, einem Dinosaurier zu begegnen?“ Hier gibt es 2 mögliche Antworten. Option 1 – sehr klein (blaue Grafik). Option 2 – entweder ein Treffen oder nicht (rote Grafik).
Natürlich ist ein Computer kein Mensch und er lernt anders. Es gibt zwei Arten des Iron-Horse-Trainings: Fallbasiertes Lernen и deduktives Lernen.
Beim Unterrichten nach Präzedenzfällen handelt es sich um eine Art des Unterrichtens anhand mathematischer Gesetze. Mathematiker sammeln Statistiktabellen, ziehen Schlussfolgerungen und laden das Ergebnis in das neuronale Netz – eine Formel zur Berechnung.
Deduktives Lernen – Lernen findet vollständig im Neuron statt (von der Datenerfassung bis zur Analyse). Hier wird eine Tabelle ohne Formel, aber mit Statistik erstellt.
Für einen umfassenden Überblick über die Technologie wären noch ein paar Dutzend Artikel erforderlich. Dies wird vorerst für unser allgemeines Verständnis ausreichen.
Neuroplastizität
In der Biologie gibt es ein solches Konzept – Neuroplastizität. Neuroplastizität ist die Fähigkeit von Neuronen (Gehirnzellen), „situativ“ zu handeln. Beispielsweise kann eine Person, die ihr Augenlicht verloren hat, Geräusche, Gerüche und Gegenstände besser wahrnehmen. Dies liegt daran, dass der Teil des Gehirns (Teil der Neuronen), der für das Sehen verantwortlich ist, seine Arbeit auf andere Funktionen umverteilt.
Ein eindrucksvolles Beispiel für Neuroplastizität im Leben ist der BrainPort-Lutscher.
Im Jahr 2009 kündigte die University of Wisconsin in Madison die Veröffentlichung eines neuen Geräts an, das die Idee einer „Sprachanzeige“ entwickelte – es hieß BrainPort. BrainPort arbeitet nach folgendem Algorithmus: Das Videosignal wird von der Kamera an den Prozessor gesendet, der Zoom, Helligkeit und andere Bildparameter steuert. Außerdem wandelt es digitale Signale in elektrische Impulse um und übernimmt damit im Wesentlichen die Funktionen der Netzhaut.
BrainPort-Lutscher mit Brille und Kamera
BrainPort bei der Arbeit
Dasselbe gilt auch für einen Computer. Wenn das neuronale Netzwerk eine Veränderung im Prozess erkennt, passt es sich daran an. Dies ist der entscheidende Vorteil neuronaler Netze gegenüber anderen Algorithmen – die Autonomie. Eine Art Menschlichkeit.
Verschlüsselte Verkehrsanalyse
Encrypted Traffic Analytics ist Teil des Stealthwatch-Systems. Stealthwatch ist Ciscos Einstieg in Sicherheitsüberwachungs- und Analyselösungen, die Unternehmenstelemetriedaten aus der vorhandenen Netzwerkinfrastruktur nutzen.
Stealthwatch Enterprise basiert auf den Tools Flow Rate License, Flow Collector, Management Console und Flow Sensor.
Cisco Stealthwatch-Schnittstelle
Das Problem der Verschlüsselung wurde sehr akut, da viel mehr Datenverkehr verschlüsselt wurde. Früher wurde (meistens) nur der Code verschlüsselt, aber jetzt ist der gesamte Datenverkehr verschlüsselt und die Trennung „sauberer“ Daten von Viren ist viel schwieriger geworden. Ein markantes Beispiel ist WannaCry, das Tor nutzte, um seine Online-Präsenz zu verbergen.
Visualisierung des Wachstums der Verkehrsverschlüsselung im Netzwerk
Verschlüsselung in der Makroökonomie
Das Encrypted Traffic Analytics (ETA)-System ist gerade für die Arbeit mit verschlüsseltem Datenverkehr erforderlich, ohne ihn zu entschlüsseln. Angreifer sind schlau und verwenden kryptoresistente Verschlüsselungsalgorithmen. Deren Zerstörung ist nicht nur problematisch, sondern für Unternehmen auch äußerst kostspielig.
Das System funktioniert wie folgt. Etwas Verkehr kommt zum Unternehmen. Es fällt unter TLS (Transport Layer Security). Nehmen wir an, der Datenverkehr ist verschlüsselt. Wir versuchen, eine Reihe von Fragen darüber zu beantworten, welche Art von Verbindung hergestellt wurde.
So funktioniert das Encrypted Traffic Analytics (ETA)-System
Um diese Fragen zu beantworten, nutzen wir in diesem System maschinelles Lernen. Es werden Forschungsergebnisse von Cisco herangezogen und auf der Grundlage dieser Studien eine Tabelle mit zwei Ergebnissen erstellt – bösartiger und „guter“ Datenverkehr. Natürlich wissen wir nicht genau, welche Art von Datenverkehr zum aktuellen Zeitpunkt direkt in das System gelangt ist, aber wir können anhand von Daten aus der Welt den Verlauf des Datenverkehrs sowohl innerhalb als auch außerhalb des Unternehmens nachvollziehen. Am Ende dieser Phase erhalten wir eine riesige Tabelle mit Daten.
Basierend auf den Ergebnissen der Studie werden charakteristische Merkmale identifiziert – bestimmte Regeln, die in mathematischer Form niedergeschrieben werden können. Diese Regeln variieren stark je nach verschiedenen Kriterien – der Größe der übertragenen Dateien, der Art der Verbindung, dem Land, aus dem dieser Datenverkehr kommt usw. Als Ergebnis der Arbeit verwandelte sich die riesige Tabelle in einen Haufen Formeln. Es gibt weniger davon, aber für komfortables Arbeiten reicht das nicht aus.
Als nächstes wird die Technologie des maschinellen Lernens angewendet – Formelkonvergenz und basierend auf dem Ergebnis der Konvergenz erhalten wir einen Auslöser – einen Schalter, bei dem wir bei der Ausgabe der Daten einen Schalter (Flagge) in der angehobenen oder abgesenkten Position erhalten.
Die daraus resultierende Phase besteht darin, eine Reihe von Triggern zu erhalten, die 99 % des Datenverkehrs abdecken.
Schritte zur Verkehrskontrolle in ETA
Als Ergebnis der Arbeit wird ein weiteres Problem gelöst – ein Angriff von innen. Es besteht keine Notwendigkeit mehr, dass Personen in der Mitte den Datenverkehr manuell filtern (ich ertrinke an dieser Stelle). Erstens müssen Sie nicht mehr viel Geld für einen kompetenten Systemadministrator ausgeben (ich ertrinke immer wieder). Zweitens besteht (zumindest teilweise) keine Gefahr eines Hackings von innen.
Veraltetes Man-in-the-Middle-Konzept
Lassen Sie uns nun herausfinden, worauf das System basiert.
Das System arbeitet mit 4 Kommunikationsprotokollen: TCP/IP – Internet-Datenübertragungsprotokoll, DNS – Domain Name Server, TLS – Transport Layer Security Protocol, SPLT (SpaceWire Physical Layer Tester) – Tester für die physikalische Kommunikationsschicht.
Protokolle, die mit ETA arbeiten
Der Vergleich erfolgt durch den Vergleich von Daten. Mithilfe von TCP/IP-Protokollen wird die Reputation von Websites überprüft (Besuchsverlauf, Zweck der Erstellung der Website usw.). Dank des DNS-Protokolls können wir „schlechte“ Website-Adressen verwerfen. Das TLS-Protokoll arbeitet mit dem Fingerabdruck einer Site und verifiziert die Site anhand eines Computer-Notfallreaktionsteams (Zertifikat). Der letzte Schritt bei der Überprüfung der Verbindung ist die Überprüfung auf physikalischer Ebene. Die Einzelheiten dieser Phase sind nicht spezifiziert, aber der Punkt ist folgender: Überprüfung der Sinus- und Cosinuskurven von Datenübertragungskurven an oszillographischen Anlagen, d. h. Dank der Struktur der Anfrage auf der physikalischen Ebene bestimmen wir den Zweck der Verbindung.
Durch den Betrieb des Systems können wir Daten aus verschlüsseltem Datenverkehr erhalten. Durch die Untersuchung von Paketen können wir so viele Informationen wie möglich aus den unverschlüsselten Feldern im Paket selbst lesen. Indem wir das Paket auf der physikalischen Ebene untersuchen, ermitteln wir die Eigenschaften des Pakets (teilweise oder vollständig). Vergessen Sie auch nicht den Ruf der Websites. Wenn die Anfrage von einer .onion-Quelle stammt, sollten Sie ihr nicht vertrauen. Um die Arbeit mit solchen Daten zu erleichtern, wurde eine Risikokarte erstellt.
Ergebnis der Arbeit von ETA
Und alles scheint in Ordnung zu sein, aber lassen Sie uns über die Netzwerkbereitstellung sprechen.
Physische Umsetzung von ETA
Hier ergeben sich eine Reihe von Nuancen und Feinheiten. Erstens, wenn man diese Art von erstellt
In Netzwerken mit High-Level-Software ist eine Datenerfassung erforderlich. Erfassen Sie Daten vollständig manuell
wild, aber die Implementierung eines Antwortsystems ist schon interessanter. Zweitens die Daten
Es sollte viel sein, was bedeutet, dass die installierten Netzwerksensoren funktionieren müssen
nicht nur autonom, sondern auch in einem fein abgestimmten Modus, was eine Reihe von Schwierigkeiten mit sich bringt.
Sensoren und Stealthwatch-System
Die Installation eines Sensors ist eine Sache, die Einrichtung jedoch eine ganz andere Aufgabe. Zur Konfiguration von Sensoren gibt es einen Komplex, der nach folgender Topologie arbeitet – ISR = Cisco Integrated Services Router; ASR = Cisco Aggregation Services Router; CSR = Cisco Cloud Services Router; WLC = Cisco Wireless LAN Controller; IE = Cisco Industrial Ethernet Switch; ASA = Cisco Adaptive Security Appliance; FTD = Cisco Firepower Threat Defense Solution; WSA = Web Security Appliance; ISE = Identity Services Engine
Umfassende Überwachung unter Berücksichtigung jeglicher Telemetriedaten
Bei Netzwerkadministratoren kommt es ab der Anzahl der Wörter „Cisco“ im vorherigen Absatz zu Herzrhythmusstörungen. Der Preis für dieses Wunder ist nicht gering, aber darüber reden wir heute nicht ...
Das Verhalten des Hackers wird wie folgt modelliert. Stealthwatch überwacht sorgfältig die Aktivität jedes Geräts im Netzwerk und ist in der Lage, ein Muster für normales Verhalten zu erstellen. Darüber hinaus bietet diese Lösung tiefe Einblicke in bekanntes unangemessenes Verhalten. Die Lösung verwendet etwa 100 verschiedene Analysealgorithmen oder Heuristiken, die verschiedene Arten von Verkehrsverhalten wie Scans, Host-Alarm-Frames, Brute-Force-Anmeldungen, vermutete Datenerfassung, vermutete Datenlecks usw. berücksichtigen. Die aufgeführten Sicherheitsereignisse fallen unter die Kategorie der logischen Alarme auf hoher Ebene. Einige Sicherheitsereignisse können auch alleine einen Alarm auslösen. Dadurch ist das System in der Lage, mehrere isolierte anomale Vorfälle zu korrelieren und sie zusammenzuführen, um die mögliche Art des Angriffs zu bestimmen und ihn einem bestimmten Gerät und Benutzer zuzuordnen (Abbildung 2). Zukünftig kann der Vorfall im Zeitverlauf und unter Berücksichtigung der zugehörigen Telemetriedaten untersucht werden. Dabei handelt es sich um kontextbezogene Informationen vom Feinsten. Ärzte, die einen Patienten untersuchen, um zu verstehen, was ihm fehlt, betrachten die Symptome nicht isoliert. Sie betrachten das Gesamtbild, um eine Diagnose zu stellen. Ebenso erfasst Stealthwatch jede anomale Aktivität im Netzwerk und untersucht sie ganzheitlich, um kontextbezogene Alarme zu senden und so Sicherheitsexperten dabei zu helfen, Risiken zu priorisieren.
Anomalieerkennung mittels Verhaltensmodellierung
Die physische Bereitstellung des Netzwerks sieht folgendermaßen aus:
Option zur Bereitstellung eines Zweigstellennetzwerks (vereinfacht)
Option zur Bereitstellung eines Zweigstellennetzwerks
Das Netzwerk wurde bereitgestellt, aber die Frage nach dem Neuron bleibt offen. Sie organisierten ein Datenübertragungsnetzwerk, installierten Sensoren an den Schwellen und starteten ein Informationssammelsystem, aber das Neuron beteiligte sich nicht an der Angelegenheit. Tschüss.
Mehrschichtiges neuronales Netzwerk
Das System analysiert das Benutzer- und Geräteverhalten, um bösartige Infektionen, Kommunikation mit Befehls- und Kontrollservern, Datenlecks und potenziell unerwünschte Anwendungen zu erkennen, die in der Infrastruktur des Unternehmens ausgeführt werden. Es gibt mehrere Ebenen der Datenverarbeitung, bei denen eine Kombination aus künstlicher Intelligenz, maschinellem Lernen und mathematischen Statistiktechniken dem Netzwerk hilft, seine normale Aktivität selbst zu erlernen, damit es böswillige Aktivitäten erkennen kann.
Die Netzwerksicherheitsanalyse-Pipeline, die Telemetriedaten aus allen Teilen des erweiterten Netzwerks, einschließlich verschlüsseltem Datenverkehr, sammelt, ist eine einzigartige Funktion von Stealthwatch. Es entwickelt schrittweise ein Verständnis dafür, was „anomal“ ist, kategorisiert dann die tatsächlichen einzelnen Elemente der „Bedrohungsaktivität“ und trifft schließlich eine endgültige Beurteilung darüber, ob das Gerät oder der Benutzer tatsächlich kompromittiert wurde. Die Fähigkeit, kleine Teile zusammenzusetzen, die zusammen die Beweise bilden, um eine endgültige Entscheidung darüber zu treffen, ob ein Vermögenswert kompromittiert wurde, beruht auf einer sehr sorgfältigen Analyse und Korrelation.
Diese Fähigkeit ist wichtig, da ein typisches Unternehmen möglicherweise täglich eine große Anzahl von Alarmen erhält und es unmöglich ist, jeden einzelnen zu untersuchen, da Sicherheitsexperten nur über begrenzte Ressourcen verfügen. Das Modul für maschinelles Lernen verarbeitet große Informationsmengen nahezu in Echtzeit, um kritische Vorfälle mit hoher Sicherheit zu identifizieren, und ist außerdem in der Lage, klare Handlungsabläufe für eine schnelle Lösung bereitzustellen.
Werfen wir einen genaueren Blick auf die zahlreichen maschinellen Lerntechniken, die Stealthwatch verwendet. Wenn ein Vorfall an die Maschine für maschinelles Lernen von Stealthwatch übermittelt wird, durchläuft er einen Sicherheitsanalysetrichter, der eine Kombination aus überwachten und unüberwachten Techniken des maschinellen Lernens verwendet.
Mehrstufige maschinelle Lernfunktionen
Level 1. Anomalieerkennung und Vertrauensmodellierung
Auf dieser Ebene werden 99 % des Datenverkehrs mithilfe statistischer Anomaliedetektoren verworfen. Diese Sensoren bilden zusammen komplexe Modelle dessen, was normal und was im Gegenteil abnormal ist. Allerdings ist das Abnormale nicht unbedingt schädlich. Vieles, was in Ihrem Netzwerk passiert, hat nichts mit der Bedrohung zu tun – es ist einfach seltsam. Es ist wichtig, solche Prozesse unabhängig von bedrohlichem Verhalten zu klassifizieren. Aus diesem Grund werden die Ergebnisse solcher Detektoren weiter analysiert, um seltsames Verhalten zu erfassen, das erklärt und vertrauenswürdig ist. Letztendlich gelangt nur ein kleiner Teil der wichtigsten Threads und Anfragen auf die Ebenen 2 und 3. Ohne den Einsatz solcher Techniken des maschinellen Lernens wären die Betriebskosten für die Trennung des Signals vom Rauschen zu hoch.
Anomalieerkennung. Der erste Schritt der Anomalieerkennung nutzt statistische Techniken des maschinellen Lernens, um statistisch normalen Datenverkehr von anomalem Datenverkehr zu trennen. Mehr als 70 einzelne Detektoren verarbeiten die Telemetriedaten, die Stealthwatch über den Datenverkehr sammelt, der durch Ihren Netzwerkperimeter geleitet wird, und trennen den internen Domain Name System (DNS)-Datenverkehr gegebenenfalls von Proxyserverdaten. Jede Anfrage wird von mehr als 70 Detektoren verarbeitet, wobei jeder Detektor seinen eigenen statistischen Algorithmus verwendet, um eine Bewertung der erkannten Anomalien zu erstellen. Diese Bewertungen werden kombiniert und mehrere statistische Methoden werden verwendet, um für jede einzelne Abfrage eine einzige Bewertung zu erstellen. Dieser Gesamtwert wird dann verwendet, um normalen und anomalen Datenverkehr zu trennen.
Vertrauen modellieren. Anschließend werden ähnliche Anfragen gruppiert und der aggregierte Anomaliewert für diese Gruppen als langfristiger Durchschnitt ermittelt. Im Laufe der Zeit werden mehr Abfragen analysiert, um den langfristigen Durchschnitt zu ermitteln, wodurch falsch-positive und falsch-negative Ergebnisse reduziert werden. Die Ergebnisse der Vertrauensmodellierung werden verwendet, um eine Teilmenge des Datenverkehrs auszuwählen, deren Anomaliebewertung einen dynamisch festgelegten Schwellenwert überschreitet, um zur nächsten Verarbeitungsebene zu gelangen.
Level 2. Ereignisklassifizierung und Objektmodellierung
Auf dieser Ebene werden die in den vorherigen Phasen erzielten Ergebnisse klassifiziert und bestimmten bösartigen Ereignissen zugeordnet. Ereignisse werden basierend auf dem Wert klassifiziert, der von Klassifikatoren für maschinelles Lernen zugewiesen wird, um eine konsistente Genauigkeitsrate von über 90 % sicherzustellen. Darunter:
- lineare Modelle basierend auf dem Neyman-Pearson-Lemma (dem Gesetz der Normalverteilung aus der Grafik am Anfang des Artikels)
- Unterstützung von Vektormaschinen durch multivariates Lernen
- neuronale Netze und der Random-Forest-Algorithmus.
Diese isolierten Sicherheitsereignisse werden dann im Laufe der Zeit einem einzelnen Endpunkt zugeordnet. In dieser Phase wird eine Bedrohungsbeschreibung erstellt, auf deren Grundlage ein vollständiges Bild davon erstellt wird, wie es dem jeweiligen Angreifer gelungen ist, bestimmte Ergebnisse zu erzielen.
Klassifizierung von Ereignissen. Die statistisch anomale Teilmenge der vorherigen Ebene wird mithilfe von Klassifikatoren in 100 oder mehr Kategorien verteilt. Die meisten Klassifikatoren basieren auf individuellem Verhalten, Gruppenbeziehungen oder Verhalten auf globaler oder lokaler Ebene, während andere sehr spezifisch sein können. Der Klassifikator könnte beispielsweise auf C&C-Verkehr, eine verdächtige Erweiterung oder ein nicht autorisiertes Software-Update hinweisen. Basierend auf den Ergebnissen dieser Phase wird eine Reihe anomaler Ereignisse im Sicherheitssystem erstellt, die in bestimmte Kategorien eingeteilt werden.
Objektmodellierung. Wenn die Menge an Beweisen, die die Hypothese stützen, dass ein bestimmtes Objekt schädlich ist, die Wesentlichkeitsschwelle überschreitet, wird eine Bedrohung festgestellt. Relevante Ereignisse, die die Definition einer Bedrohung beeinflusst haben, werden mit einer solchen Bedrohung verknüpft und werden Teil eines diskreten Langzeitmodells des Objekts. Da sich im Laufe der Zeit Beweise ansammeln, identifiziert das System neue Bedrohungen, wenn die Wesentlichkeitsschwelle erreicht ist. Dieser Schwellenwert ist dynamisch und wird basierend auf der Höhe des Bedrohungsrisikos und anderen Faktoren intelligent angepasst. Danach erscheint die Bedrohung im Informationsfeld der Weboberfläche und wird auf die nächste Ebene übertragen.
Stufe 3. Beziehungsmodellierung
Der Zweck der Beziehungsmodellierung besteht darin, die auf den vorherigen Ebenen erzielten Ergebnisse aus einer globalen Perspektive zusammenzufassen und dabei nicht nur den lokalen, sondern auch den globalen Kontext des jeweiligen Vorfalls zu berücksichtigen. In dieser Phase können Sie feststellen, wie viele Organisationen einem solchen Angriff ausgesetzt waren, um zu verstehen, ob er speziell auf Sie abzielte oder Teil einer globalen Kampagne war und Sie gerade erwischt wurden.
Vorfälle werden bestätigt oder entdeckt. Ein verifizierter Vorfall impliziert ein Vertrauen von 99 bis 100 %, da die damit verbundenen Techniken und Werkzeuge zuvor in einem größeren (globalen) Maßstab in Aktion beobachtet wurden. Erkannte Vorfälle betreffen nur Sie und sind Teil einer äußerst zielgerichteten Kampagne. Frühere Erkenntnisse werden mit einer bekannten Vorgehensweise geteilt, wodurch Sie bei der Reaktion Zeit und Ressourcen sparen. Sie verfügen über die Ermittlungstools, die Sie benötigen, um zu verstehen, wer Sie angegriffen hat und inwieweit die Kampagne auf Ihr digitales Unternehmen abzielte. Wie Sie sich vorstellen können, übersteigt die Zahl der bestätigten Vorfälle die Zahl der erkannten Vorfälle bei weitem, und zwar aus dem einfachen Grund, dass bestätigte Vorfälle im Gegensatz zu erkannten Vorfällen für Angreifer keine großen Kosten verursachen.
teuer, weil sie neu und individuell sein müssen. Durch die Schaffung der Möglichkeit, bestätigte Vorfälle zu identifizieren, hat sich die Wirtschaftlichkeit des Spiels endlich zugunsten der Verteidiger verlagert, was ihnen einen deutlichen Vorteil verschafft.
Mehrstufiges Training eines neuronalen Verbindungssystems basierend auf ETA
Globale Risikokarte
Die globale Risikokarte wird durch Analyse erstellt, die von maschinellen Lernalgorithmen auf einen der größten Datensätze seiner Art in der Branche angewendet wird. Es liefert umfangreiche Verhaltensstatistiken zu Servern im Internet, auch wenn diese unbekannt sind. Solche Server werden mit Angriffen in Verbindung gebracht und können in Zukunft in einen Angriff involviert sein oder als Teil davon genutzt werden. Hierbei handelt es sich nicht um eine „Blacklist“, sondern um ein umfassendes Bild des jeweiligen Servers aus Sicherheitsgründen. Diese kontextbezogenen Informationen über die Aktivität dieser Server ermöglichen es den Detektoren und Klassifizierern für maschinelles Lernen von Stealthwatch, den mit der Kommunikation mit solchen Servern verbundenen Risikograd genau vorherzusagen.
Sie können die verfügbaren Karten anzeigen .
Weltkarte mit 460 Millionen IP-Adressen
Jetzt lernt das Netzwerk und setzt sich für den Schutz Ihres Netzwerks ein.
Endlich ein Allheilmittel gefunden?
Leider ist die Nein. Aus Erfahrung mit dem System kann ich sagen, dass es zwei globale Probleme gibt.
Problem 1. Preis. Das gesamte Netzwerk wird auf einem Cisco-System bereitgestellt. Das ist sowohl gut als auch schlecht. Das Gute daran ist, dass Sie sich nicht die Mühe machen und eine Reihe von Steckern wie D-Link, MikroTik usw. installieren müssen. Der Nachteil sind die enormen Kosten des Systems. Angesichts der wirtschaftlichen Lage der russischen Wirtschaft kann sich dieses Wunder derzeit nur ein wohlhabender Eigentümer eines großen Unternehmens oder einer Bank leisten.
Problem 2: Ausbildung. Ich habe in dem Artikel nicht die Trainingsdauer für das neuronale Netzwerk angegeben, aber nicht, weil es nicht existiert, sondern weil es ständig lernt und wir nicht vorhersagen können, wann es lernen wird. Natürlich gibt es Werkzeuge der mathematischen Statistik (nehmen Sie die gleiche Formulierung des Pearson-Konvergenzkriteriums), aber das sind halbe Sachen. Wir erhalten die Wahrscheinlichkeit, den Datenverkehr zu filtern, und selbst dann nur unter der Voraussetzung, dass der Angriff bereits gemeistert und bekannt ist.
Trotz dieser beiden Probleme haben wir einen großen Sprung in der Entwicklung der Informationssicherheit im Allgemeinen und des Netzwerkschutzes im Besonderen gemacht. Diese Tatsache kann motivierend für das Studium von Netzwerktechnologien und neuronalen Netzen sein, die mittlerweile eine vielversprechende Richtung darstellen.
Source: habr.com